في عام 2024، ارتفعت الهجمات الإلكترونية التي تستهدف خوادم في إم وير إي إس إكس آي (VMware ESXi) إلى مستويات مقلقة، مع ارتفاع متوسط قيمة الفدية المطلوبة إلى خمسة ملايين دولار. ومع وجود ما يقارب 8000 مضيف إي إس إكس آي مكشوف مباشرة للإنترنت وفقًا لمنصة شودان (Shodan)، فإن التأثيرات التشغيلية والتجارية لهذه الهجمات عميقة.

تحليل مفصل وسياق تاريخي

غالبية الأنواع الحالية من برامج الفدية التي تهاجم خوادم إي إس إكس آي هي نسخ متطورة من برنامج الفدية الشهير بابوك (Babuk)، تم تعديلها لتجنب اكتشاف أدوات الأمان. علاوة على ذلك، أصبحت الوصولات الأولية أكثر انتشارًا، حيث يقوم المهاجمون بتحقيق الدخل من نقاط الدخول الخاصة بهم عن طريق بيعها لمهاجمين آخرين، بما في ذلك مجموعات برامج الفدية. مع مواجهة المؤسسات تهديدات مركبة على جبهات متزايدة: ثغرات جديدة، ونقاط دخول جديدة، وشبكات جرائم إلكترونية تجارية، يتزايد الإلحاح على تعزيز الإجراءات الأمنية واليقظة.

بنية إي إس إكس آي ونقاط الضعف

لفهم كيفية تمكن المهاجم من السيطرة على مضيف إي إس إكس آي، يجب البدء بفهم بنية البيئات الافتراضية ومكوناتها. يساعد ذلك في تحديد الثغرات المحتملة ونقاط الدخول. المهاجمون الذين يستهدفون خوادم إي إس إكس آي قد يبحثون عن العقدة المركزية التي تدير مضيفات إي إس إكس آي متعددة، مما يمكنهم من زيادة تأثيرهم.

هذا يقودنا إلى الفيسنتر (vCenter)، وهو الإدارة المركزية لبنية في إم وير ويُصمم لإدارة عدة مضيفات إي إس إكس آي. يقوم خادم الفيسنتر بتنظيم إدارة مضيفات إي إس إكس آي باستخدام الحساب الافتراضي “vpxuser”. مع امتلاكه لصلاحيات الجذر، يتولى “vpxuser” المسؤولية عن الإجراءات الإدارية على الآلات الافتراضية الموجودة على مضيفات إي إس إكس آي.

التشفير في إي إس إكس آي

تهدف حملات برامج الفدية إلى جعل عملية الاسترداد صعبة للغاية، مما يدفع المؤسسة نحو دفع الفدية. مع هجمات إي إس إكس آي، يتحقق ذلك باستهداف أربعة أنواع من الملفات الضرورية لاستمرارية العمليات:

• ملفات VMDK: ملف قرص افتراضي يخزن محتويات القرص الصلب للآلة الافتراضية. تشفير هذه الملفات يجعل الآلة الافتراضية غير قابلة للتشغيل تماما.
• ملفات VMEM: ملف الترحيل لكل آلة افتراضية. تشفير أو حذف ملفات VMEM يمكن أن يؤدي إلى فقدان بيانات كبير وتعقيدات عند محاولة استئناف الآلات المعلقة.
• ملفات VSWP: ملفات مبادلة، التي تخزن بعض ذاكرة الآلة الافتراضية بما يتجاوز ما يمكن لذاكرة المضيف الفعلية تقديمه. تشفير هذه الملفات يمكن أن يسبب أعطال في الآلات الافتراضية.
• ملفات VMSN: لقطات لنسخ احتياطي للآلات الافتراضية. استهداف هذه الملفات يعقد عمليات الاسترداد من الكوارث.

نظرًا لكبر حجم الملفات التي تتعرض للهجمات في خوادم إي إس إكس آي، يستخدم المهاجمون عادة نهج التشفير الهجين، حيث يجمعون بين سرعة التشفير المتماثل وأمان التشفير غير المتماثل.

استراتيجيات رئيسية لتقليل المخاطر

بعد أن ندرك أن أمان الفيسنتر معرض للخطر، فإن الخطوة التالية هي تعزيز الدفاعات من خلال وضع عقبات في طريق المهاجمين المحتملين. إليك بعض الاستراتيجيات:

• تحديثات VCSA منتظمة: استخدم دائمًا أحدث إصدار من الخادم المركزي في إم وير (VMware vCenter Server Appliance) وحافظ على تحديثه.
• تطبيق المصادقة متعددة العوامل وإزالة المستخدمين الافتراضيين: لا تكتفِ بتغيير كلمات المرور الافتراضية، بل قم بإعداد مصادقة متعددة العوامل (MFA) لحسابات حساسة.
• نشر أدوات الكشف الفعالة: استخدم أدوات الكشف والمنع مباشرة على الفيسنتر. الحلول مثل (EDRs) و(XDRs) أو أدوات الطرف الثالث يمكن أن تساعد في المراقبة والتنبيه.
• تقسيم الشبكة: قسم شبكتك للتحكم في تدفق الحركة وتقليل خطر التحرك الجانبي من قبل المهاجمين.

الاختبار المستمر: تعزيز أمن إي إس إكس آي

حماية الفيسنتر من هجمات برامج الفدية إي إس إكس آي أمر حيوي. المخاطر المرتبطة باختراق الفيسنتر يمكن أن تؤثر على المنظمة بأكملها، مما يؤثر على كل من يعتمد على البيانات الحيوية.

يمكن أن يساعد الاختبار والتقييم المستمر في تحديد ومعالجة الفجوات الأمنية قبل أن تصبح مشكلات خطيرة. تعاون مع خبراء الأمن الذين يمكنهم مساعدتك في تنفيذ استراتيجية إدارة التعرض للتهديد المستمر (CTEM) المصممة لمنظمتك.

هل وجدت هذا المقال مثيرًا؟ تابعنا على X (Twitter) وFacebook لقراءة المزيد من المحتوى الحصري الذي ننشره.