نسخه جدید باج‌افزار Royal در پی ماشین‌های مجازی

برخی منابع خبر داده‌اند گردانندگان باج‌افزار Royal با بکارگیری یک رمزگذار تحت Linux در حال آلوده‌سازی بسترهای مجازی VMware ESXi و رمزگذاری ماشین‌های مجازی آنها هستند.

این در حالی است که سازمان‌ها به دلایلی همچون تسهیل و تسریع فرایند تهیه نسخه پشتیبان، سادگی نگهداری و بهینه‌تر شدن استفاده از منابع سخت‌افزاری بیش از هر زمانی به بسترهای مجازی روی آورده‌اند.

باج‌افزار Royal، اولین بار در دی ماه 1400 شناسایی شد. مهاجمان آن افراد باتجربه‌ای هستند که قبلاً با گردانندگان باج‌افزار Conti همکاری می‌کردند. این افراد در ابتدا رمزگذار باج‌افزارهایی همچون BlackCat را بکار می‌گرفتند. آنها با نام Zeon فعالیت خود را آغاز کردند و از اطلاعیه باج‌گیری مشابه باج‌افزار Conti استفاده می‌کردند.

در اواخر شهریور، این گروه به Royal تغییر نام داد و شروع به استفاده از رمزگذار اختصاصی خود کرد.

مهاجمان Royal پس از رمزگذاری سیستم‌های سازمان قربانی، بین 250 هزار دلار تا ده‌ها میلیون دلار باج مطالبه می‌کنند.

اکنون بر اساس برخی گزارش‌های منتشر شده نسخه تحت Linux باج‌افزار Royal در حال هدف قرار دادن سرورهای ESXi است.

این نسخه تحت Linux که فایلی در قالب ELF64 است تنها با اجرای چند فرمان اقدام به رمزگذاری فایل‌های ماشین‌های مجازی ESXi می‌کند. به فایل‌های رمزگذاری شده توسط این نسخه از Royal، پسوند royal_u الصاق می‌شود.

گستردگی استفاده از VMware ESXi، این بستر مجازی را به یکی از اهداف اصلی بسیاری از مهاجمان تبدیل کرده است.

عدم به اشتراک‌گذاری سرورهای ESXi بر روی اینترنت و اطمینان از نصب آخرین اصلاحیه‌ها و به‌روزرسانی‌های امنیتی VMware از مؤثرترین راهکارها در ایمن نگاه داشتن این بسترها و ماشین‌های مجازی بر روی آنها محسوب می‌شوند.

منبع:

https://newsroom.shabakeh.net/26978/royal-ransomware-targeting-esxi.html

 

نوشته های مشابه