روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ همه می‌دانیم که باج‌افزار‌ها بسیار خطرناک هستند اما حقیقتاً برای مصون ماندن از گزند آن‌ها باید چه کرد؟ یا به بیانی دیگر باید مهمتر از همه از چه چیزی در برابر باج‌افزارها محافظت کرد؟ اغلب ایستگاه‌ها کاری ویندوز، سرورهای اکتیو دایرکتوری[1] و سایر محصولات مایکروسافت، کاندیداهای اصلی هستند و این رویکرد معمولاً موجه است. اما باید این را نیز در نظر داشت که تاکتیک‌های مجرمان سایبری همیشه در حال پیشرفت و تکمیل است و ابزارهای مخرب اکنون دارند برای سرورهای لینوکسی و سیستم‌های مجازی‌سازی[2] توسعه داده می‌شوند. در سال 2022، تعداد کلی حملات به سیستم‌های لینوکس چیزی حدود 75 درصد افزایش داشت. انگیزه پشت چنین حملاتی هم واضح است: محبوبیت منبع باز و مجازی‌سازی رو به رشد است و این یعنی سرورهای بیشتری دارند لینوکس یا VMWare ESXi را اجرا می‌کنند. این‌ها اغلب کلی اطلاعات حیاتی را ذخیره می‌کنند که اگر رمزگذاری شوند می‌توانند آناً عملیات‌های یک شرکت را از کار بیاندازند. از آنجایی که امنیت سیستم‌های ویندوزی از قدیم مورد توجه بوده، سرورهای غیرویندوزی خیلی راحت می‌توانند مورد حمله قرار گیرند.

حملات در سال‌های 2022-2023

•         در فوریه 2023 بسیاری از دارندگان سرورهای  VMware ESXi مورد حمله باج‌افزار ESXiArgs قرار گرفتند که داشت از آسیب‌پذیری CVE-2021-21974 سوءاستفاده می‌کرد. مهاجمین ماشین‌های مجازی را غیرفعال کردند و فایل‌های .vmxf, .vmx, .vmdk, .vmsd و  .nvram را نیز رمزگذاری نمودند.
•         گروه بدنام Clop–معروف به حملات در مقیاس بزرگ روی سرویس‌های آسیب‌پذیر انتقال فایل  Fortra GoAnywhere از طریق CVE-2023-0669– دسامبر 2022 شناسایی شد. این گروه از نسخه لینوکسی باج‌افزار خود (البته به روشی محدود) استفاده کرده بود. اما این حمله با همتای ویندوزی‌اش تفاوت دارد (نبود برخی بهینه‌سازی‌ها و ترفندهای دفاعی) اما برای مجوزهای لینوکسی و انواع کاربران سازگار شده و مشخصاً فولدرهای پایگاه داده اوراکل را هدف قرار می‌دهد.
•         نسخه جدیدی از باج‌افزار BlackBasta نیز به طور خاص برای حملاتی روی هایپرویزورهای ESXi طراحی شده است. نقشه رمزگذاری از الگوریتم ChaCha20 در حالت چندریسمانی[3] که شامل چندین پردازنده می‌شود استفاده می‌کند. از آنجایی که مزارع ESXi معمولاً چندپردازنده‌ای هستند، این الگوریتم زمان لازم برای رمزگذاری کل محیط را کاهش می‌دهد.
•         کمی پیش از فروپاشی‌اش، گروه هکریِ Conti همچنین خود را به باج‌افزاری که صرفاً به ESXi حمله می‌کرد مجهز کرد. متأسفانه با توجه به اینکه بخش زیادی از کد Conti نشت شد، توسعه‌‌ی آن‌ها اکنون در دسترس طیف وسیعی از مجرمان سایبری قرار دارد.
•         باج‌افزار BlackCat نوشته‌شده به زبان  Rust همچنین قادر است ماشین‌های مجازی ESXi را غیرفعال و پاک کند. از جهات دیگر این کد مخرب کمی با نسخه ویندوزی متفاوت است.
•         باج‌افزار  Luna که سال 2022 شناسایی شد پلت‌فرمی چندگانه بود که می‌توانست روی ویندوز، لینوکس و سیستم‌های ESXi اجرا شود و البته گروه LockBit این ترند را براحتی نادیده گرفت: گروه سایبری مذکور نیز شروع به عرضه نسخه‌های ESXi بدافزارشان به شرکت‌های وابسته کرد.
•         در مورد حملات قدیمی‌تر (اما افسوس که مؤثر بودند) همچنین کمپین‌های RansomEXX و QNAPCrypt وجود داشتند که به شدت به سرورهای لینوکس آسیب زدند.

تاکتیک‌های حمله به سرور

نفوذ به سرورهای لینوکس معمولاً بر پایه‌ی اکسپلویت کردن آسیب‌پذیری‌هاست. حملات می‌توانند آسیب‌پذیری‌ها را در سیستم‌عامل، سرورهای وبی و سایر اپ‌های پایه به سلاح تبدیل کنند؛ همینطور در اپ‌های تجازی، پایگاه‌های اطلاعاتی و سیستم‌های مجازی‌سازی. سال گذشته آنچه توسط Log4Shell به ما نشان داده شد این بود که آسیب‌پذیری‌ها در اجزای منبع باز نیازمند توجه ویژه‌ای هستند. بعد از نقض اولیه بسیاری از رشته باج‌افزارها از ترفندهای اضافی یا آسیب‌پذیری‌های دیگر برای افزایش مزیت‌ها و رمزگذاری سیستم استفاده می‌کنند.

راهکارهای امنیتی ارجح برای سرورهای لینوکس

به منظور کاهش شانس حملاتی که سرورهای لینوکس را هدف قرار می‌دهند توصیه می‌کنیم:

•         سریعاً نسبت به پچ کردن آسیب‌پذیری‌ها اقدام کنید.
•         تعداد پورت‌ها و کانکشن‌های اینترنتی را به حداقل برسانید.
•         روی سرورها ابزارهای امنیتی تخصصی به کار ببرید تا هم از خود سیستم‌عامل محافظت شود هم از ماشین‌های مجازی و کانتینرهایی که روی سرور میزبانی می‌شوند.

[1] Active Directory

[2]  Virtualization

[3] multi-threaded، وانایی یک برنامه در تقسیم شدن به چند ریسمان (زیربرنامه) است که می‌توانند جداگانه و در عین حال همزمان توسط رایانه اجرا شوند.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.