กลุ่มอาชญากรผู้อยู่เบื้องหลังมัลแวร์เรียกค่าไถ่ REvil เริ่มมีการใช้งานเครื่องมือเข้ารหัสเวอร์ชั่น Linux โดยพุ่งเป้าโจมตีเครื่องคอมพิวเตอร์แม่ข่ายแบบเสมือนหรือ Virtual Machine (VM) ที่ทำงานอยู่บน VMware ESXi เป็นหลัก ซึ่งเป็นผลมาจากความนิยมในการใช้งาน VM ขององค์กรในยุคปัจจุบันทำให้กลุ่มอาชญากรไซเบอร์เร่งพัฒนาเครื่องมือที่จะใช้ในการโจมตีด้วยการเข้ารหัสข้อมูลของ VM
เมื่อเดือนพฤษภาคมที่ผ่านมา ผู้เชี่ยวชาญด้านข่าวกรองทางไซเบอร์, Yelisey Boguslavskiy โพสต์ข้อมูลผ่านทวิตเตอร์ว่าพบข้อมูลการประกาศบนเว็บบอร์ดแห่งหนึ่งโดยกลุ่มอาชญากรผู้อยู่เบื้องหลังมัลแวร์เรียกค่าไถ่ REvil ทำการยืนยันว่าได้เปิดให้ใช้งานเครื่องมือเข้ารหัสเวอร์ชั่นระบบปฏิบัติการ Linux ซึ่งสามารถใช้โจมตีอุปกรณ์ NAS ได้อีกด้วย
เมื่อวันที่ 28 มิ.ย.64 ที่ผ่านมา กลุ่มนักวิจัยด้านความปลอดภัยทางไซเบอร์จาก MalwareHunterTeam เปิดเผยว่าตรวจพบมัลแวร์เรียกค่าไถ่ REvil เวอร์ชั่น Linux เช่นกัน หรือที่รู้จักกันในชื่อ "Sodinokibi" ซึ่งกำลังพุ่งเป้าโจมตีเครื่องแม่ข่ายที่ใช้งาน VMware ESXI
Vitali Kremez ซึ่งเป็นผู้เชี่ยวชาญด้านข่าวกรองทางไซเบอร์ให้สัมภาษณ์ BleepingComputer หลังจากมีโอกาสได้ทำการวิเคราะห์ไฟล์มัลแวร์พันธ์ุใหม่นี้ว่า มันเป็นไฟล์ ELF ชนิด 64-bit ซึ่งมีการนำรูปแบบการตั้งค่าการใช้งานเหมือนกับไฟล์ Executable ที่พบได้บนระบบปฏิบัติการ Windows และนี่เป็นครั้งแรกที่มีการค้นพบมัลแวร์เรียกค่าไถ่ REvil เวอร์ชั่น Linux ในการโจมตีที่เกิดขึ้นจริงนับตั้งแต่มันถูกเปิดให้ใช้งาน
สำหรับขีดความสามารถของมัลแวร์ชนิดนี้ ผู้โจมตีสามารถกำหนดตำแหน่งของไฟล์ที่ต้องการเข้ารหัสได้ รวมทั้งสามารถเปิดการใช้งาน "Silent Mode" ซึ่งใช้สำหรับป้องกันการปิดการทำงานของ "VMs mode" ดังแสดงตามรายละเอียดในคำแนะนำการใช้งาน (Usage Instructions) ของมัลแวร์ ดังนี้
Usage example: elf.exe --path /vmfs/ --threads 5 without --path encrypts current dir --silent (-s) use for not stoping VMs mode BY DEFAULT THIS SOFTWARE USES 50 THREADS
หากมัลแวร์ทำงานอยู่บนเครื่องแม่ข่ายที่ใช้งาน VMware ESXi มัลแวร์จะเรียกใช้งาน "esxcli" ซึ่งเป็นเครื่องมือประเภท Command-line เพื่อสั่งให้แสดงผลรายการของ VM ทั้งหมดที่กำลังใช้งานอยู่บนเครื่องเป้าหมายจากนั้นจึงทำการปิดการทำงานของ VM ดังกล่าว
esxcli --formatter=csv --format-param=fields=="WorldID,DisplayName" vm process list | awk -F "","" '{system("esxcli vm process kill --type=force --world-id=" $1)}'
Command-line ดังกล่าวมีวัตถุประสงค์เพื่อปิดการทำงานของ VM เพื่อให้มัลแวร์สามารถเข้าถึงไฟล์ Virtual Machine Disk (VMDK) ที่เก็บอยู่ภายใต้โฟลเดอร์ "/vmfs/" ได้ ซึ่งจะทำให้มัลแวร์สามารถเริ่มกระบวนการเข้ารหัสไฟล์ดังกล่าวได้ทันทีโดยที่ไม่ถูกป้องกันโดย ESXi
Fabian Wosar, CTO ของ Emsisoft ให้ความเห็นผ่านทวิตเตอร์ว่า ในกรณีที่กระบวนการปิดการทำงานของ VM เป้าหมายไม่สมบูรณ์ก่อนที่จะถูกเข้ารหัสโดยมัลแวร์ จะส่งผลให้ข้อมูลภายในเกิดความเสียหายได้
ด้วยเทคนิคนี้จะทำให้มัลแวร์เรียกค่าไถ่ REvil สามารถเข้ารหัส VM ทั้งหมดภายในเครื่องแม่ข่ายที่ใช้งาน VMware ESXi โดยใช้คำสั่งเพียงครั้งเดียว
Fabian Wosar บอกกับ BleepingComputer ว่า กลุ่มอาชญากรผู้อยู่เบื้องหลังมัลแวร์เรียกค่าไถ่ชนิดอื่น ๆ เช่น Babuk, RansomExx/Defray, Mespinoza, GoGoogle, DarkSide, และ Hellokitty ได้ทำการสร้างเครื่องมือสำหรับเข้ารหัสข้อมูลเวอร์ชั่น Linux เพื่อโจมตี VMware ESXi แล้วเช่นกัน
"เหตุผลหลักที่กลุ่มอาชญากรผู้อยู่เบื้องมัลแวร์เรียกค่าไถ่ส่วนใหญ่ทำการพัฒนามัลแวร์เรียกค่าไถ่ของตนเองในเวอร์ชั่น Linux ก็เพื่อใช้สำหรับโจมตี ESXi เป็นหลัก" ตามคำสัมภาษณ์ของ Fabian Wosar
ข้อมูล Indicators of Compromise (IOCs) ของมัลแวร์เรียกค่าไถ่ REvil เวอร์ชั่น Linux ซึ่งเก็บรวบรวมโดยนักวิจัยด้านความมั่นคงปลอดภัยไซเบอร์, Jaime Blasco, สามารถดาวน์โหลดได้จากเว็บไซต์ Alienvault's Open Threat Exchange
ที่มา : bleepingcomputer
You must be logged in to post a comment.