نسخه لینوکس باج افزار Black Basta سرورهای VMware ESXi را هدف قرار می‌دهد

Black Basta جدیدترین گروه باج‌افزاری است که از رمزگذاری ماشین‌های مجازی VMware ESXi که روی سرورهای لینوکس سازمانی اجرا می‌شوند، پشتیبانی می‌کند.

اکثر گروه‌های باج‌افزار در حال حاضر حملات خود را بر روی ماشین‌های مجازی ESXi متمرکز کرده‌اند، زیرا این تاکتیک با هدف‌گیری سازمانی آنها هماهنگ است. همچنین امکان سوء استفاده از رمزگذاری سریعتر چندین سرور با یک فرمان را فراهم می‌کند.

رمزگذاری ماشین‌های مجازی منطقی است زیرا بسیاری از شرکت‌ها اخیراً به ماشین‌های مجازی مهاجرت کرده‌اند، زیرا امکان مدیریت آسان‌تر دستگاه و استفاده کارآمدتر از منابع را فراهم می‌کنند.

باج افزار دیگری که سرورهای ESXi را هدف قرار می‌دهد

در گزارشی جدید، تحلیلگران تهدید Uptycs فاش کردند که باینری‌های  باج‌افزاری Black Basta جدید را شناسایی کرده‌اند که به‌طور خاص سرورهای VMWare ESXi را هدف قرار می‌دهند.

رمزگذارهای باج افزار لینوکس چیز جدیدی نیستند و BleepingComputer از رمزگذارهای مشابه منتشر شده توسط چندین باند دیگر از جمله LockBit، HelloKitty، BlackMatter، REvil، AvosLocker، RansomEXX و Hive گزارش داده است.

مانند سایر رمزگذارهای لینوکس، باج‌افزار Black Basta ، مسیر /vmfs/volumes / را روی سرور ESXi مورد حمله  جستجو می‌کند. ماشین‌های مجازی، در این پوشه ذخیره می‌شوند (اگر چنین پوشه‌ای یافت نشد، باج‌افزار خارج می‌شود).

BleepingComputer نتوانست آرگومان های خط فرمان را برای هدف قرار دادن مسیرهای دیگر برای رمزگذاری پیدا کند، که نشان می دهد این رمزگذار به طور خاص برای هدف قرار دادن سرورهای ESXi طراحی شده است.

این باج افزار از الگوریتم ChaCha20 برای رمزگذاری فایل ها استفاده می‌کند. همچنین از مزایای  پردازش چندنخی برای استفاده از چندین پردازنده و سرعت بخشیدن به فرآیند رمزگذاری استفاده می‌کند.

در حین رمزگذاری، باج‌افزار پسوند basta. را به نام فایل‌های رمزگذاری‌شده اضافه می‌کند و یادداشت‌هایی با نام readme.txt در هر پوشه ایجاد می‌کند.

این یادداشت ها شامل یک پیوند به پنل پشتیبانی چت و یک شناسه منحصر به فرد است که قربانیان می‌توانند از آن برای برقراری ارتباط با مهاجمان استفاده کنند.

Siddharth Sharma و Nischay Hegde از Uptcys گفتند: «Black Basta برای اولین بار امسال در ماه آوریل مشاهده شد، که انواع سیستم های ویندوز را هدف قرار دادند.»

بر اساس پیوند پشتیبانی چت و پسوند فایل رمزگذاری شده، ما معتقدیم که عوامل پشت این کمپین همان کسانی هستند که سیستم های ویندوز را قبلاً با باج افزار Black Basta هدف قرار دادند.

از آوریل فعال است

باج افزار Black Basta برای اولین بار در هفته دوم آوریل مشاهده شد و این عملیات به سرعت حملات خود را علیه شرکت های سراسر جهان افزایش داد.

حتی اگر باج‌خواهی این گروه بین قربانیان متفاوت باشد، BleepingComputer حداقل یکی را می‌شناسد که بیش از ۲ میلیون دلار باج بابت رمزگشایی و خودداری از افشای اطلاعات آنلاین دریافت کرده است. 

در حالی که اطلاعات زیادی در مورد باج افزار جدید در دست نیست، این احتمالاً یک عملیات جدید نیست، بلکه تغییر نام تجاری به دلیل توانایی اثبات شده آنها در نفوذ سریع به قربانیان جدید و سبک مذاکره (احتمالاً نام تجاری مجدد عملیات باج افزار Conti) است.

Fabian Wosar مدیر ارشد فناوری Emsisoft قبلاً به BleepingComputer گفته است که گروه‌های باج‌افزار دیگر (علاوه بر باج‌افزارهایی که در مورد آنها گزارش کرده‌ایم)، از جمله Babuk، RansomExx/Defray، Mespinoza، GoGoogle، Snatch، PureLocker و DarkSide نیز رمزگذارهای لینوکس خود را توسعه داده‌اند و از آنها استفاده کرده‌اند.

Wosar توضیح داد: «دلیل اینکه اکثر گروه‌های باج‌افزار نسخه مبتنی بر لینوکس از باج‌افزار خود را پیاده‌سازی می‌کنند، هدف قرار دادن خاص ESXi است.»

منبع: BleepingComputer