ارتفاع هجمات الفدية تستهدف منصات المحاكاة الافتراضية، ومجموعة Akira تقود الجهود
تشهد بيئات تكنولوجيا المعلومات موجة متزايدة من هجمات الفدية التي تستهدف بشكل خاص منصات المحاكاة الافتراضية، وعلى رأسها Hyper-V و VMware ESXi. تقود مجموعة برامج الفدية المعروفة باسم Akira حملة منظمة تركز على استغلال الثغرات الأمنية في أنظمة المحاكاة الافتراضية، مما يشكل تهديداً متصاعداً للمؤسسات التي تعتمد على هذه التقنيات لتسيير عملياتها الحيوية. وقد تمكنت المجموعة من تطوير أدوات متخصصة تسرّع عملية تشفير الأجهزة الافتراضية، الأمر الذي يؤدي إلى تعطيل واسع النطاق عبر الشبكات المستهدفة.
تشكل هذه الهجمات خطراً حقيقياً على البنية التحتية الرقمية للمؤسسات.
تستهدف برامج الفدية الحديثة طبقة المحاكاة الافتراضية (hypervisor)، وهي الطبقة المسؤولة عن إدارة وتشغيل أجهزة افتراضية متعددة على خادم مادي واحد. عند تمكن المهاجمين من الوصول إلى هذه الأنظمة، يمكنهم تشفير عدد كبير من الأجهزة الافتراضية في وقت واحد، مما يضاعف حجم الأضرار الناجمة عن اختراق واحد. هذا النهج جعل برامج الفدية هذه فعالة بشكل خاص ضد المنظمات التي تدير مراكز بيانات خدمات سحابية.
تؤدي عملية التشفير إلى إغلاق الأنظمة الحيوية للأعمال، مما يضع الشركات أمام خيارات صعبة بين دفع فدية للإفراج عن البيانات أو محاولة الاستعادة من النسخ الاحتياطية. وقد رصد باحثو الأمن السيبراني في Huntress هذه الحملة بعد ملاحظة أنماط نشاط غير طبيعية في بيئات المحاكاة الافتراضية.
كشفت تحليلاتهم أن مجموعة Akira قامت بتحسين تكتيكاتها لاستغلال الثغرات الأمنية الشائعة في إعدادات المحاكاة الافتراضية. تنتشر برامج الفدية عادةً عبر بيانات اعتماد مخترقة أو ثغرات غير مصححة، مما يمنحها وصولاً إدارياً إلى مضيفات ESXi و Hyper-V قبل نشر روتين التشفير الخاص بها. تقوم برامج الفدية بالبحث بشكل صريح عن ملفات قرص الأجهزة الافتراضية وبيانات التكوين.
بمجرد العثور عليها، تبدأ عملية التشفير وتعمل على تعطيل خدمات النسخ الاحتياطي ومسح لقطات الاستعادة. هذا النهج المزدوج يلغي خيارات الاستعادة السهلة، مما يزيد الضغط على الضحايا للتفاوض مع المهاجمين.
يجدر بالذكر أن عملية التشفير على الأنظمة الافتراضية أسرع بكثير من الطرق التقليدية التقليدية، وغالباً ما تكتمل في غضون ساعات.
تنفيذ الهجوم واختراق الأنظمة
تعتمد آلية الإصابة بشكل كبير على الوصول الأولي من خلال بيانات اعتماد إدارية ضعيفة أو مسروقة. بعد تأسيس موطئ قدم، يقوم المهاجمون بإجراء استطلاع لتحديد البنية التحتية الافتراضية واكتشاف الأهداف ذات القيمة العالية. ثم تقوم برامج الفدية بنشر ملفات تنفيذية خاصة بالمنصة، مع إصدارات منفصلة محسّنة لـ Hyper-V المستند إلى Windows و ESXi المستند إلى Linux.
يستخدم المتغير الخاص بـ ESXi معلمات سطر الأوامر للتحكم في سلوك التشفير، بما في ذلك خيارات لتخطي أنواع ملفات معينة أو استهداف أجهزة افتراضية بعينها. قد يبدو أمر التنفيذ النموذجي شيء من هذا القبيل:
./akira_esxi --encryption-mode fast --exclude-vm backup-server
تسمح هذه المرونة للمهاجمين بتكييف نهجهم بناءً على البيئة المستهدفة، مما يزيد من التأثير مع تجنب الاكتشاف من قبل أنظمة المراقبة التي قد تتعقب النشاط المشبوه.