توییت
یک عملیات جدید باجافزار به عنوان سرویس (RaaS) به نام MichaelKors به آخرین بدافزار رمزگذاری فایل تبدیل شده است که از آوریل 2023 سیستمهای لینوکس و VMware ESXi را هدف قرار داده است.
شرکت امنیت سایبری CrowdStrike در گزارشی که با The Hacker News به اشتراک گذاشته است به این نکته اشاره دارد که بازیگران مجرم سایبری به طور فزاینده ای به ESXi نگاه می کنند.
این شرکت گفت: "این روند به ویژه با توجه به این واقعیت قابل توجه است که ESXi، از نظر طراحی، از عوامل شخص ثالث یا نرم افزار AV پشتیبانی نمی کند."
"در واقع، VMware تا آنجا پیش می رود که ادعا می کند نیازی به آن نیست. این، همراه با محبوبیت ESXi به عنوان یک سیستم مجازی سازی و مدیریت گسترده و محبوب، Hypervisor را به یک هدف بسیار جذاب برای دشمنان مدرن تبدیل می کند."
هدف قرار دادن هایپروایزرهای VMware ESXi با باج افزار برای مقیاس چنین کمپین هایی، تکنیکی است که به عنوان هایپروایزر jackpotting شناخته می شود. در طول سال ها، این رویکرد توسط چندین گروه باج افزار از جمله رویال اتخاذ شده است.
علاوه بر این، تجزیه و تحلیلی از SentinelOne هفته گذشته نشان داد که 10 خانواده باجافزار مختلف، از جمله Conti و REvil، از کد منبع فاش شده Babuk در سپتامبر 2021 برای توسعه قفلهایی برای هایپروایزرهای VMware ESXi استفاده کردهاند.
بخشی از دلیل تبدیل شدن هایپروایزرهای VMware ESXi به یک هدف جذاب این است که این نرم افزار مستقیماً روی یک سرور فیزیکی اجرا می شود و به مهاجم بالقوه توانایی اجرای باینری های مخرب ELF و دسترسی نامحدود به منابع زیربنایی دستگاه را می دهد.
مهاجمانی که به دنبال نقض هایپروایزرهای ESXi هستند، میتوانند با استفاده از اعتبارنامههای به خطر افتاده، به دنبال کسب امتیازات بالا و یا حرکت جانبی در شبکه یا فرار از محدودیتهای محیط از طریق نقصهای شناخته شده برای پیشبرد انگیزههای خود، این کار را انجام دهند.
VMware، در مقاله پایگاه دانش که آخرین بار در سپتامبر 2020 به روز شد، اشاره می کند که "نرم افزار آنتی ویروس با vSphere Hypervisor مورد نیاز نیست و استفاده از چنین نرم افزاری پشتیبانی نمی شود."
شرکت امنیت سایبری CrowdStrike در گزارشی که با The Hacker News به اشتراک گذاشته است به این نکته اشاره دارد که بازیگران مجرم سایبری به طور فزاینده ای به ESXi نگاه می کنند.
این شرکت گفت: "این روند به ویژه با توجه به این واقعیت قابل توجه است که ESXi، از نظر طراحی، از عوامل شخص ثالث یا نرم افزار AV پشتیبانی نمی کند."
"در واقع، VMware تا آنجا پیش می رود که ادعا می کند نیازی به آن نیست. این، همراه با محبوبیت ESXi به عنوان یک سیستم مجازی سازی و مدیریت گسترده و محبوب، Hypervisor را به یک هدف بسیار جذاب برای دشمنان مدرن تبدیل می کند."
هدف قرار دادن هایپروایزرهای VMware ESXi با باج افزار برای مقیاس چنین کمپین هایی، تکنیکی است که به عنوان هایپروایزر jackpotting شناخته می شود. در طول سال ها، این رویکرد توسط چندین گروه باج افزار از جمله رویال اتخاذ شده است.
علاوه بر این، تجزیه و تحلیلی از SentinelOne هفته گذشته نشان داد که 10 خانواده باجافزار مختلف، از جمله Conti و REvil، از کد منبع فاش شده Babuk در سپتامبر 2021 برای توسعه قفلهایی برای هایپروایزرهای VMware ESXi استفاده کردهاند.
بخشی از دلیل تبدیل شدن هایپروایزرهای VMware ESXi به یک هدف جذاب این است که این نرم افزار مستقیماً روی یک سرور فیزیکی اجرا می شود و به مهاجم بالقوه توانایی اجرای باینری های مخرب ELF و دسترسی نامحدود به منابع زیربنایی دستگاه را می دهد.
مهاجمانی که به دنبال نقض هایپروایزرهای ESXi هستند، میتوانند با استفاده از اعتبارنامههای به خطر افتاده، به دنبال کسب امتیازات بالا و یا حرکت جانبی در شبکه یا فرار از محدودیتهای محیط از طریق نقصهای شناخته شده برای پیشبرد انگیزههای خود، این کار را انجام دهند.
VMware، در مقاله پایگاه دانش که آخرین بار در سپتامبر 2020 به روز شد، اشاره می کند که "نرم افزار آنتی ویروس با vSphere Hypervisor مورد نیاز نیست و استفاده از چنین نرم افزاری پشتیبانی نمی شود."