ซอฟต์แวร์
แอปพลิเคชันบนมือถือ
เช็คความเร็วเน็ต (Speedtest)
เช็คไอพี (Check IP)
เช็คเลขพัสดุ
สุ่มออนไลน์ (Online Random)
มินิเกม
กิจกรรมไอที
เกม
เช็ครอบหนัง
รวมคลิป Thaiware
RedAlert มัลแวร์เรียกค่าไถ่มุ่งเป้าโจมตี Windows และ Linux บน Vmware ESXi Server
Talil
ผู้เชี่ยวชาญจาก MalwareHunter ออกแถลงเตือนผ่าน Twitter หลังพบข้อมูลจากองค์กรแห่งหนึ่งหลุดบนเว็บไซต์ของกลุ่มแฮกเกอร์ ที่ออกมาโพนทะนา ถึงความสำเร็จจากการโจมตีองค์กรดังกล่าวด้วยมัลแวร์เรียกค่าไถ่ที่มีนามว่า 'RedAlert' หรือ 'N13V' โดยมีการกำหนดเป้าหมายเพื่อมุ่งโจมตีที่ เซิร์ฟเวอร์ VMWare ESXi ขององค์กร ทั้งบนระบบปฏิบัติการ Windows และ Linux ซึ่งคาดว่าอาจมีเหยื่อเพิ่มอีกในอนาคต
คำสั่ง command-line ของมัลแวร์เรียกค่าไถ่ RedAlert หรือ N13V
- นักวิจัยเตือนองค์กรทั่วโลก ! แฮกเกอร์ดัดแปลงแรมซัมแวร์ "Lockbit 3.0" เตรียมพร้อมโจมตี
- Toyota เตือน เหตุการณ์ข้อมูลลูกค้ารั่วไหล กระทบบริษัทและลูกค้าบางส่วนในต่างประเทศ
- Microsoft เตือนภัย DEV-0569 และวิธีการใหม่ กระจาย Royal Ransomware ผ่าน Google Ads
- เทคนิคใหม่แก๊ง Ransomware เพิ่มความสามารถให้หลบการตรวจจับได้ !
- WatchGuard เผยยอดโจมตีจาก Malware และ Ransomware ของ Endpoint พุ่งสูง !
จากตัวเข้ารหัส Linux encryptor ที่ค้นพบโดย BleepingComputer ทราบว่าคำสั่ง Command-Line ต่าง ๆ ที่คุณเห็นจากภาพข้างต้นมีความสามารถทำให้ผู้โจมตี ทำการสั่งปิดระบบ Virtual Machines บนเซิร์ฟเวอร์ VMware ESXi ของเหยื่อ ก่อนเข้ารหัสไฟล์ได้
โดยเริ่มจากค่าตัวแปร '-w' ที่ใช้สั่งหยุดการทำงานของระบบ Virtual Machines ด้วยคำสั่ง ESXCLI ต่อไปนี้
esxcli --formatter=csv --format-param=fields=="WorldID,DisplayName" vm process list | tail -n +2 | awk -F $',' '{system("esxcli vm process kill --type=force --world-id=" $1)}'
และตามด้วยค่าอื่น ๆ ที่จะทำการล็อกไฟล์ต่าง ๆ ที่เกี่ยวกับ Virtual Machines ซึ่งในการเข้ารหัสไฟล์ของ 'RedAlert' ได้ใช้การเข้ารหัสแบบอัลกอริทึม NTRUEncrypt ซึ่งรองรับ Parameter Sets ในระดับความปลอดภัยที่แตกต่างกันได้ โดยรูปแบบอัลกอริทึมดังกล่าว ที่รู้จักมีเพียง Ransomware ตัวเดียวที่เคยใช้งานมาก่อนคือ 'FiveHands'
ภาพจาก https://www.bleepingcomputer.com/news/security/new-redalert-ransomware-targets-windows-linux-vmware-esxi-servers/?&web_view=true
และเมื่อเข้ารหัสไฟล์ 'RedAlert' ยังสามารถกำหนดเป้าหมายเชื่อมโยงกับไฟล์ระบบ VMware ESXi ได้ด้วย รวมไปถึง log files, swap files, virtual disks และ memory files ตามรายการด้านล่าง
- .log
- .vmdk
- .vmem
- .vswp
- .vmsn
ภาพจาก https://www.bleepingcomputer.com/news/security/new-redalert-ransomware-targets-windows-linux-vmware-esxi-servers/?&web_view=true
BleepingComputer ระบุว่าหลังจากไฟล์ถูกเข้ารหัสแล้ว 'RedAlert' จะทำการผนวกนามสกุล ".crypt [ตัวเลข]" เข้ากับไฟล์ที่ถูกเข้ารหัส พร้อมกับสร้างโน้ตชื่อ How_To_Restore ที่จะมี คำอธิบายของข้อมูลที่ถูกขโมยและลิงก์ไปเว็บไซต์ใน TOR Network สำหรับการชำระเงินค่าไถ่เพื่อปลดล็อกไฟล์
คำอธิบายสำหรับการเรียกค่าไถ่
และเว็บไซต์สำหรับการชำระเงินในระบบ TOR Network นี้ก็เป็นเว็บไซต์เดียวกับที่ Ransomware อื่น ๆ ใช้งานเหมือนกัน อย่างไรก็ตามสำหรับ RedAlert จะยอมรับเฉพาะสกุลเงินดิจิทัล Monero (XMR) เท่านั้น ซึ่งจะไม่ได้มีการซื้อขายแลกเปลี่ยนในตลาดคริปโตทั่วไป เพราะมันคือเหรียญนอกระบบที่มุ่งเน้นความเป็นส่วนตัว
แม้จากตัวอย่างจะพบเพียง Linux encryptor และมีเพียงแค่องค์กรเดียวเท่านั้นที่ตกเป็นเหยื่อในปัจจุบัน แต่ในเว็บไซต์ยังมีการกล่าวเชื่อมโยงถึงระบบ Windows ทำให้ทราบว่า RedAlert อาจมีวิธีการสำหรับ Encrypt ไฟล์ ของ Windows ด้วยและเชื่อว่าการโจมตีครั้งต่อไปน่าจะเกิดขึ้นในไม่ช้า ทำให้หลายองค์กรจำเป็นต้องเฝ้าระวังอย่างเข้มงวด
ที่มา : www.bleepingcomputer.com
คำสำคัญ »
|
|
งานเขียนคืออาหาร ปลายปากกา ก็คือปลายตะหลิว |
ข่าวไอทีที่เกี่ยวข้อง
แสดงความคิดเห็น
ข่าวไอที ยอดนิยม
ข่าวไอทีแนะนำ
ข่าวประชาสัมพันธ์
Thaiware.com is owned and operated by Thaiware Communication Co., Ltd.