نسخه جدید باجافزار Royal در پی ماشینهای مجازی
برخی منابع خبر دادهاند گردانندگان باجافزار Royal با بکارگیری یک رمزگذار تحت Linux در حال آلودهسازی بسترهای مجازی VMware ESXi و رمزگذاری ماشینهای مجازی آنها هستند.
این در حالی است که سازمانها به دلایلی همچون تسهیل و تسریع فرایند تهیه نسخه پشتیبان، سادگی نگهداری و بهینهتر شدن استفاده از منابع سختافزاری بیش از هر زمانی به بسترهای مجازی روی آوردهاند.
باجافزار Royal، اولین بار در دی ماه 1400 شناسایی شد. مهاجمان آن افراد باتجربهای هستند که قبلاً با گردانندگان باجافزار Conti همکاری میکردند. این افراد در ابتدا رمزگذار باجافزارهایی همچون BlackCat را بکار میگرفتند. آنها با نام Zeon فعالیت خود را آغاز کردند و از اطلاعیه باجگیری مشابه باجافزار Conti استفاده میکردند.
در اواخر شهریور، این گروه به Royal تغییر نام داد و شروع به استفاده از رمزگذار اختصاصی خود کرد.
مهاجمان Royal پس از رمزگذاری سیستمهای سازمان قربانی، بین 250 هزار دلار تا دهها میلیون دلار باج مطالبه میکنند.
اکنون بر اساس برخی گزارشهای منتشر شده نسخه تحت Linux باجافزار Royal در حال هدف قرار دادن سرورهای ESXi است.
این نسخه تحت Linux که فایلی در قالب ELF64 است تنها با اجرای چند فرمان اقدام به رمزگذاری فایلهای ماشینهای مجازی ESXi میکند. به فایلهای رمزگذاری شده توسط این نسخه از Royal، پسوند royal_u الصاق میشود.
گستردگی استفاده از VMware ESXi، این بستر مجازی را به یکی از اهداف اصلی بسیاری از مهاجمان تبدیل کرده است.
عدم به اشتراکگذاری سرورهای ESXi بر روی اینترنت و اطمینان از نصب آخرین اصلاحیهها و بهروزرسانیهای امنیتی VMware از مؤثرترین راهکارها در ایمن نگاه داشتن این بسترها و ماشینهای مجازی بر روی آنها محسوب میشوند.
منبع:
https://newsroom.shabakeh.net/26978/royal-ransomware-targeting-esxi.html