ซอฟต์แวร์
แอปพลิเคชันบนมือถือ
เช็คความเร็วเน็ต (Speedtest)
เช็คไอพี (Check IP)
เช็คเลขพัสดุ
สุ่มออนไลน์ (Online Random)
มินิเกม
RedAlert มัลแวร์เรียกค่าไถ่มุ่งเป้าโจมตี Windows และ Linux บน Vmware ESXi Server
Talil
ผู้เชี่ยวชาญจาก MalwareHunter ออกแถลงเตือนผ่าน Twitter หลังพบข้อมูลจากองค์กรแห่งหนึ่งหลุดบนเว็บไซต์ของกลุ่มแฮกเกอร์ ที่ออกมาโพนทะนา ถึงความสำเร็จจากการโจมตีองค์กรดังกล่าวด้วยมัลแวร์เรียกค่าไถ่ที่มีนามว่า 'RedAlert' หรือ 'N13V' โดยมีการกำหนดเป้าหมายเพื่อมุ่งโจมตีที่ เซิร์ฟเวอร์ VMWare ESXi ขององค์กร ทั้งบนระบบปฏิบัติการ Windows และ Linux ซึ่งคาดว่าอาจมีเหยื่อเพิ่มอีกในอนาคต
คำสั่ง command-line ของมัลแวร์เรียกค่าไถ่ RedAlert หรือ N13V
- Black Basta กลับมาแล้ว คราวนี้แฮกเกอร์ปลอมตัวเป็น IT Support บน Microsoft Teams หลอกลวงแพร่มัลแวร์
- ตรวจพบมัลแวร์เรียกค่าไถ่ NotLockBit โจมตี macOS ที่ใช้ชิป Intel หรือมี Resetta Emulation อยู่
- กลุ่มแฮกเกอร์ RomCom ใช้ช่องโหว่ Zero-Day บน Microsoft Office ปล่อยแรนซัมแวร์
- ระวังข้อมูลหาย! แรนซัมแวร์ Cicada3301 พุ่งเป้าโจมตีผู้ใช้งาน Windows และ Linux ล็อกไฟล์สำคัญได้กว่า 35 สกุล
- กลุ่มแรนซัมแวร์ดังพัฒนาเครื่องมือ EDRKillShifter มีความสามารถปิดระบบ EDR ก่อนยิงมัลแวร์ใส่ระบบได้
จากตัวเข้ารหัส Linux encryptor ที่ค้นพบโดย BleepingComputer ทราบว่าคำสั่ง Command-Line ต่าง ๆ ที่คุณเห็นจากภาพข้างต้นมีความสามารถทำให้ผู้โจมตี ทำการสั่งปิดระบบ Virtual Machines บนเซิร์ฟเวอร์ VMware ESXi ของเหยื่อ ก่อนเข้ารหัสไฟล์ได้
โดยเริ่มจากค่าตัวแปร '-w' ที่ใช้สั่งหยุดการทำงานของระบบ Virtual Machines ด้วยคำสั่ง ESXCLI ต่อไปนี้
esxcli --formatter=csv --format-param=fields=="WorldID,DisplayName" vm process list | tail -n +2 | awk -F $',' '{system("esxcli vm process kill --type=force --world-id=" $1)}'
และตามด้วยค่าอื่น ๆ ที่จะทำการล็อกไฟล์ต่าง ๆ ที่เกี่ยวกับ Virtual Machines ซึ่งในการเข้ารหัสไฟล์ของ 'RedAlert' ได้ใช้การเข้ารหัสแบบอัลกอริทึม NTRUEncrypt ซึ่งรองรับ Parameter Sets ในระดับความปลอดภัยที่แตกต่างกันได้ โดยรูปแบบอัลกอริทึมดังกล่าว ที่รู้จักมีเพียง Ransomware ตัวเดียวที่เคยใช้งานมาก่อนคือ 'FiveHands'
ภาพจาก https://www.bleepingcomputer.com/news/security/new-redalert-ransomware-targets-windows-linux-vmware-esxi-servers/?&web_view=true
และเมื่อเข้ารหัสไฟล์ 'RedAlert' ยังสามารถกำหนดเป้าหมายเชื่อมโยงกับไฟล์ระบบ VMware ESXi ได้ด้วย รวมไปถึง log files, swap files, virtual disks และ memory files ตามรายการด้านล่าง
- .log
- .vmdk
- .vmem
- .vswp
- .vmsn
ภาพจาก https://www.bleepingcomputer.com/news/security/new-redalert-ransomware-targets-windows-linux-vmware-esxi-servers/?&web_view=true
BleepingComputer ระบุว่าหลังจากไฟล์ถูกเข้ารหัสแล้ว 'RedAlert' จะทำการผนวกนามสกุล ".crypt [ตัวเลข]" เข้ากับไฟล์ที่ถูกเข้ารหัส พร้อมกับสร้างโน้ตชื่อ How_To_Restore ที่จะมี คำอธิบายของข้อมูลที่ถูกขโมยและลิงก์ไปเว็บไซต์ใน TOR Network สำหรับการชำระเงินค่าไถ่เพื่อปลดล็อกไฟล์
คำอธิบายสำหรับการเรียกค่าไถ่
และเว็บไซต์สำหรับการชำระเงินในระบบ TOR Network นี้ก็เป็นเว็บไซต์เดียวกับที่ Ransomware อื่น ๆ ใช้งานเหมือนกัน อย่างไรก็ตามสำหรับ RedAlert จะยอมรับเฉพาะสกุลเงินดิจิทัล Monero (XMR) เท่านั้น ซึ่งจะไม่ได้มีการซื้อขายแลกเปลี่ยนในตลาดคริปโตทั่วไป เพราะมันคือเหรียญนอกระบบที่มุ่งเน้นความเป็นส่วนตัว
แม้จากตัวอย่างจะพบเพียง Linux encryptor และมีเพียงแค่องค์กรเดียวเท่านั้นที่ตกเป็นเหยื่อในปัจจุบัน แต่ในเว็บไซต์ยังมีการกล่าวเชื่อมโยงถึงระบบ Windows ทำให้ทราบว่า RedAlert อาจมีวิธีการสำหรับ Encrypt ไฟล์ ของ Windows ด้วยและเชื่อว่าการโจมตีครั้งต่อไปน่าจะเกิดขึ้นในไม่ช้า ทำให้หลายองค์กรจำเป็นต้องเฝ้าระวังอย่างเข้มงวด
ที่มา : www.bleepingcomputer.com
คำสำคัญ »
|
|
งานเขียนคืออาหาร ปลายปากกา ก็คือปลายตะหลิว |
ข่าวไอทีที่เกี่ยวข้อง
แสดงความคิดเห็น
ข่าวไอที ยอดนิยม
ข่าวไอทีแนะนำ
ข่าวประชาสัมพันธ์
Thaiware.com is owned and operated by Thaiware Communication Co., Ltd.