افزایش حملات باج‌افزاری به سرورهای VMware ESXi و راهکارهای مقابله

در سال ۲۰۲۴، حملات باج‌افزاری هدفمند علیه سرورهای VMware ESXi به طرز چشم‌گیری افزایش یافت. میانگین مبلغ درخواست‌شده برای باج به ۵ میلیون دلار رسید. با وجود حدود ۸,۰۰۰ هاست ESXi که به طور مستقیم در اینترنت در دسترس هستند (بر اساس آمار Shodan)، تأثیر این حملات بر عملیات و کسب‌وکارها بسیار جدی است.

باج‌افزارهای هدفمند سرورهای ESXi

بیشتر حملات باج‌افزاری به ESXi، از نسخه‌های تغییر یافته باج‌افزار معروف Babuk استفاده می‌کنند. این نسخه‌ها برای دور زدن ابزارهای امنیتی طراحی شده‌اند. همچنین، مهاجمان با فروش دسترسی اولیه به سرورها، مسیر حمله را برای سایر بازیگران تهدید از جمله گروه‌های باج‌افزاری، آسان‌تر کرده‌اند.

معماری ESXi و نقاط ضعف احتمالی

درک ساختار محیط‌های مجازی‌سازی و اجزای آن‌ها برای شناسایی نقاط ورود و آسیب‌پذیری‌های احتمالی ضروری است. حملات هدفمند به ESXi معمولاً با هدف قرار دادن vCenter (مرکز مدیریت چندین هاست ESXi) انجام می‌شوند، زیرا کنترل vCenter به مهاجم امکان تأثیرگذاری گسترده می‌دهد.

vCenter از حساب کاربری پیش‌فرض “vpxuser” برای مدیریت هاست‌های ESXi استفاده می‌کند. رمزهای عبور مرتبط با هاست‌های متصل در یک جدول در سرور vCenter ذخیره می‌شوند. با استفاده از کلید رمزنگاری ذخیره‌شده در vCenter، مهاجمان می‌توانند رمزها را رمزگشایی کرده و کنترل کامل هاست‌ها را به دست آورند.

هدف قرار دادن فایل‌های کلیدی در حملات باج‌افزاری

باج‌افزارها برای ایجاد دشواری در بازیابی، فایل‌های حیاتی ESXi را هدف قرار می‌دهند:

• VMDK: فایل‌های دیسک مجازی، که محتوای هارد دیسک ماشین‌های مجازی را ذخیره می‌کنند.
• VMEM: فایل‌های مربوط به حافظه مجازی هر ماشین.
• VSWP: فایل‌های مبادله‌ای که حافظه اضافی ماشین‌های مجازی را مدیریت می‌کنند.
• VMSN: فایل‌های مربوط به اسنپ‌شات‌ها، که برای پشتیبان‌گیری استفاده می‌شوند.

روش‌های رمزنگاری ترکیبی

باج‌افزارها از روش‌های رمزنگاری ترکیبی استفاده می‌کنند:

• رمزنگاری متقارن (مانند AES): سرعت بالایی دارد و برای رمزنگاری حجم بالای داده مناسب است.
• رمزنگاری نامتقارن (مانند RSA): برای امنیت کلیدهای رمزنگاری متقارن استفاده می‌شود.

راهبردهای کاهش ریسک

برای مقابله با این حملات، اقدامات زیر توصیه می‌شود:

1. به‌روزرسانی منظم VCSA: استفاده از آخرین نسخه VMware vCenter Server Appliance (VCSA) و جایگزینی نسخه‌های مبتنی بر ویندوز با VCSA.
2. استفاده از MFA و حذف کاربران پیش‌فرض: تنظیم احراز هویت چندمرحله‌ای برای حساب‌های حساس و تغییر رمزهای پیش‌فرض.
3. استفاده از ابزارهای شناسایی مؤثر: بهره‌گیری از ابزارهایی مانند EDR یا XDR برای نظارت و شناسایی فعالیت‌های غیرمعمول.
4. تقسیم‌بندی شبکه: تفکیک شبکه مدیریت vCenter از سایر بخش‌های شبکه برای کاهش خطر حرکت جانبی مهاجمان.

اهمیت ارزیابی‌های مداوم

ارزیابی‌های مداوم امنیت و اجرای راهبردهای مدیریت تهدیدات، به شناسایی و رفع ضعف‌های امنیتی کمک می‌کنند. همکاری با متخصصان امنیت برای پیاده‌سازی یک استراتژی مدیریت مستمر تهدیدات (CTEM) می‌تواند امنیت سازمان شما را تقویت کند.