در موج جدید حملات، گروه‌های باج‌افزاری (همچون DarkBit) مستقیماً لایه ی Hypervisor  به‌ویژه VMware ESXi را هدف قرار می‌دهند و فایل‌های دیسک مجازی (VMDK) را رمزگذاری می‌کنند. این مقاله مسیر تهدید(attack chain)، شاخص‌های آشکارسازی (IOCs)، اقدامات واکنشی و بهترین راهکارهای سخت‌شدن را با ارجاع به گزارش‌ها و راهنمایی‌های بین‌المللی شرح می‌دهد.

مقدمه: چرا ESXi برای مهاجمان جذاب است؟

ESXi به دلیل نقش مرکزی‌اش (کنترل و میزبانی صدها یا هزارانVM) یک Single Point of Failure است. نفوذ موفق به hypervisor می‌تواند در کوتاه‌ترین زمان کل محیط مجازی را غیرقابل‌دسترس کند یا datastore ها را رمزگذاری کند—اثر ضربه‌زننده‌تر از نفوذ به یک سرور تنها.

موج‌های اخیر حملات نشان می‌دهد مهاجمان یا از آسیب‌پذیری‌های پچ‌نشده استفاده می‌کنند یا با مهندسی اجتماعی و حملات به vCenter/AD مسیر گرفتن دسترسی را می‌سازند.

مدل تهدید و زنجیره ی حمله (Threat Chain)

معمول‌ترین زنجیره‌ای که در حملات ESXi گزارش شده شامل مراحل زیر است:

1. دسترسی اولیه —  از طریق آسیب‌پذیری پچ‌نشده، اکانت به‌خطر‌افتاده یا فیشینگ.
2. افزایش دسترسی و حرکت عرضی —  دسترسی به vCenter/vSphere، فعال‌سازی SSH روی هاست‌ها، ریست رمز root
3. تحکیم و پاک‌سازی شواهد —  حذف Snapshotها، پاک‌سازی لاگ‌ها یا تغییر مجوزها.
4. رمزگذاری در سطح datastore —  رمزگذاری انتخابی/کامل فایل‌های VMDK، VMX و لاگ‌ها.
5. ادعا و باج‌خواهی — گذاشتن ransom note در سطح datastore .
   این الگو مطابق با گزارش‌های CISA و تحلیل‌های موردی باج‌افزارهای ESXi است.

علائم بحرانی نفوذ به VMware ESXi — اگر دیدید فوراً واکنش نشان دهید! (IOCs)

نمونهی شاخص‌ها — برای هر محیط، نسخه‌های دقیق‌تر را از لاگ‌ها استخراج کنید.

 Power-off یا shutdown ناگهانی همزمان تعدادی VM در یک datastore

 فایل‌های رمزگذاری‌شده با پسوند/الگوی جدید روی datastore (VMDK/flat.vmdk تغییر یافته)

 وجود فایل‌های ransom note در ریشهی datastore

 فعال‌سازی SSH یا تغییرات پیکربندی در vCenter/vCSA در زمان‌های نامعمول.

 لاگ‌های غیرعادی در /var/log/hostd.log و /var/log/vmkernel.log (خطاها، فراخوانی‌های API ناشناخته، ورود root از منابع غیرقابل‌قبول).

تشخیص عملی (Detection recipes برای SOC)

1. هشدار زمانی که بیش از N ماشین در یک datastore در بازهی T دقیقه خاموش شوند(SIEM rule).
2. مقایسه هش‌های VMDK با پایگاه هشی قبل؛ تغییر سریع هش کل فایل یعنی احتمال رمزگذاری.
3. نظارت بر فراخوانی‌های API vCenter: تغییرات ناگهانی در تنظیمات Snapshot، حذف snapshot، یا دستور stop/start به تعداد بالا.
4. هشدار برای فعال‌شدن سرویس SSH روی ESXi hosts از IPهای جدید یا پس از بازه‌های maintenance  (این قواعد با دید CISA و تحلیل‌های فنی توصیه‌شده در گزارش‌های VMware همخوانی دارد).

اقدامات پیشگیرانه و هاردنینگ (گام‌به‌گام)

1. پچ و نگهداری منظم — اجرای تمام پچ‌های امنیتی VMware و اجتناب از نگه‌داشتن نسخه‌های EOL در تولید (اولویت بالا).
2. جداکردن شبکهی مدیریتی (Management Network segmentation) — اجازه ی دسترسی به vCenter/ESXi فقط از طریق Jump Host امن و محدودهی IP مشخص.
3. MFA  و سیاست‌های سخت‌گیرانه برای حساب‌های مدیریت — فعال‌سازی MFA برای vSphere Client و APIها؛ محدودیت سرویس‌اکانت‌ها.
4. بک‌آپ آفلاین و خارج از شبکه (Air-gapped backups) — بک‌آپ‌های کامل از datastoreها و p2v snapshots خارج از محیط که مهاجم نتواند به آن‌ها دسترسی پیدا کند.
5. محدودسازی SSH و مدیریت کلیدها — غیرفعالسازی SSH مگر برای عملیات ضروری، استفاده از مدیریت کلید متمرکز و لاگ‌گیری متمرکز.
6. تست بازیابی (DR drills) — اجرای تمرین‌های بازیابی برای سنجش RTO/RPO و واکنش تیم‌ها؛ بازیابی بدون پرداخت باج ممکن است تنها راه کارآیی باشد.

Incident Response مختصر برای تیم IR (چک‌لیست سریع)

1. ایزوله کردن هاست‌های متاثر و قطع از شبکه مدیریتی.
2. جمع‌آوری فورنزیک: گرفتن snapshot از وضعیت فعلی دیتاستور، لاگ‌ها، کش‌های شبکه.
3. شناسایی مسیر نفوذ اولیه (AD, VPN, exposed vCenter).
4. بازیابی از بک‌آپ‌های آفلاین یا استفاده از ابزارهای decrypt (اگر توسط محققان معتبر ارائه شده باشد).
5. اخیراً محققانی توانستند ابزارهایی برای شکستن بعضی پیاده‌سازی‌های DarkBit ارائه دهند؛ اما اتکا به این موضوع جایگزین فرایند DR نباشد. (

نکات حقوقی و ارتباطی

 مستند کردن همه ی گام‌ها: زمان‌بندی، شواهد، تغییرات؛ برای پاسخ‌دهی به نهادهای قانونی و بیمه ضروریست.

 تماس با CERT ملی/شرکتی و در صورت نیاز گزارش‌دادن به CISA/FBI (یا معادل‌های محلی) برای مشاوره و دریافت IoC بروز.

نتیجه‌گیری

حملاتِ مستقیم به Hypervisor نشان‌دهنده ی تکامل تهدیدات است: مهاجمان اکنون می‌دانند بالاترین نقطهٔ ضربه‌پذیری کجاست و برای آن روش کارآمدی توسعه داده‌اند. به‌روزرسانی، شبکه‌بندی مدیریتی محکم، بک‌آپ‌های ایزوله، و مانیتورینگ سطح hypervisor دیگر توصیه نیست—الزام است. (

منابع کلیدی جهت مطالعه ی بیشتر:

  گزارش CybersecurityNews — DarkBit targets VMware ESXi .

CISA advisory — ESXiArgs recovery guidance  

VMware — ESXiArgs Q&A  و راهنمای رسمی vSphere Security.