ข่าวสาร
RedAlert มัลแวร์เรียกค่าไถ่มุ่งเป้าโจมตี Windows และ Linux บน Vmware ESXi Server
ที่มา : www.bleepingcomputer.com
ผู้เชี่ยวชาญจาก MalwareHunter ออกแถลงเตือนผ่าน Twitter หลังพบข้อมูลจากองค์กรแห่งหนึ่งหลุดบนเว็บไซต์ของกลุ่มแฮกเกอร์ ที่ออกมาโพนทะนา ถึงความสำเร็จจากการโจมตีองค์กรดังกล่าวด้วยมัลแวร์เรียกค่าไถ่ที่มีนามว่า ‘RedAlert’ หรือ ‘N13V’ โดยมีการกำหนดเป้าหมายเพื่อมุ่งโจมตีที่ เซิร์ฟเวอร์ VMWare ESXi ขององค์กร ทั้งบนระบบปฏิบัติการ Windows และ Linux ซึ่งคาดว่าอาจมีเหยื่อเพิ่มอีกในอนาคต
คำสั่ง command-line ของมัลแวร์เรียกค่าไถ่ RedAlert หรือ N13V
จากตัวเข้ารหัส Linux encryptor ที่ค้นพบโดย BleepingComputer ทราบว่าคำสั่ง Command-Line ต่าง ๆ ที่คุณเห็นจากภาพข้างต้นมีความสามารถทำให้ผู้โจมตี ทำการสั่งปิดระบบ Virtual Machines บนเซิร์ฟเวอร์ VMware ESXi ของเหยื่อ ก่อนเข้ารหัสไฟล์ได้
โดยเริ่มจากค่าตัวแปร ‘-w’ ที่ใช้สั่งหยุดการทำงานของระบบ Virtual Machines ด้วยคำสั่ง ESXCLI ต่อไปนี้
esxcli –formatter=csv –format-param=fields==”WorldID,DisplayName” vm process list | tail -n +2 | awk -F $’,’ ‘{system(“esxcli vm process kill –type=force –world-id=” $1)}’
และตามด้วยค่าอื่น ๆ ที่จะทำการล็อคไฟล์ต่าง ๆ ที่เกี่ยวกับ Virtual Machines ซึ่งในการเข้ารหัสไฟล์ของ ‘RedAlert’ ได้ใช้การเข้ารหัสแบบอัลกอริทึม NTRUEncrypt ซึ่งรองรับ Parameter Sets ในระดับความปลอดภัยที่แตกต่างกันได้ โดยรูปแบบอัลกอริทึมดังกล่าว ที่รู้จักมีเพียง Ransomware ตัวเดียวที่เคยใช้งานมาก่อนคือ ‘FiveHands’
และเมื่อเข้ารหัสไฟล์ ‘RedAlert’ ยังสามารถกำหนดเป้าหมายเชื่อมโยงกับไฟล์ระบบ VMware ESXi ได้ด้วย รวมไปถึง log files, swap files, virtual disks และ memory files ตามรายการด้านล่าง
- .log
- .vmdk
- .vmem
- .vswp
- .vmsn
ฟ้า https://www.bleepingcomputer.com/news/security/new-redalert-ransomware-targets-windows-linux-vmware-esxi-servers/?&web_view=true
BleepingComputer ซอร์ฟแวร์ เยาะเย้ยเย้ยเย้ยเย้ย ‘RedAlert’ จะเยาะเย้ย “.crypt [ตัวเลข]” เข้ากับพวกปัญญาไม่ดีที่สร้างชื่อ How_To_Restore เครือข่าย ชำระเงินค่าเพื่อปลดล็อคกลุ่ม
อธิบายการเรียกร้องค่าค่า
และเว็บไซต์สำหรับนักพัฒนา TOR เครือข่าย นี้แพลตฟอร์มปัญญาที่ Ransomware อื่น ๆ อาจมีช่องโหว่สำหรับ RedAlert ใลเฉพาะใญ่ Monero (XMR) สกุลเงินดิจิตอล
แม้จากตัวอย่างจะพบเพียง Linux encryptor และมีเพียงแค่องค์กรเดียวเท่านั้นที่ตกเป็นเหยื่อในปัจจุบัน แต่ในเว็บไซต์ยังมีการกล่าวเชื่อมโยงถึงระบบ Windows ทำให้ทราบว่า RedAlert อาจมีวิธีการสำหรับ Encrypt ไฟล์ ของ Windows ด้วยและเชื่อว่าการโจมตีครั้งต่อไปน่าจะเกิดขึ้นในไม่ช้า ทำให้หลายองค์กรจำเป็นต้องเฝ้าระวังอย่างเข้มงวด