กลุ่ม Ransomware ใหม่ที่มีชื่อว่า Memento ได้ใช้วิธีการรูปแบบใหม่ในการเข้ารหัสไฟล์ โดยมีการเข้ารหัสไฟล์ Archives ด้วยรหัสผ่าน หลังจากที่วิธีก่อนหน้านี้ถูกซอฟต์แวร์รักษาความปลอดภัยตรวจจับการเข้ารหัสของมันได้
เมื่อเดือนที่แล้ว กลุ่ม Memento เริ่มใช้ประโยชน์จากช่องโหว่ของ VMware vCenter Server web client สำหรับการเข้าถึงเครือข่ายของเหยื่อ
ช่องโหว่ vCenter ถูกกำหนดหมายเลขช่องโหว่เป็น 'CVE-2021-21971' และเป็นช่องโหว่ในการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลโดยไม่ต้องผ่านการตรวจสอบสิทธิ์ ซึ่งมีระดับความรุนแรง 9.8 (critical)
ช่องโหว่นี้ช่วยให้ผู้โจมตีสามารถเข้าถึงเซิร์ฟเวอร์ vCenter ที่มีช่องโหว่เพื่อใช้งานคำสั่งบน OS ด้วยสิทธิ์ของผู้ดูแลระบบผ่านทางพอร์ต TCP/IP 443
ในเดือนกุมภาพันธ์ได้มีแพตช์อัปเดตเพื่อแก้ไขช่องโหว่นี้ แต่ตามรายงานการโจมตีของกลุ่ม Memento องค์กรจำนวนมากยังไม่ได้อัปเดตแพตช์
การใช้ประโยชน์จากช่องโหว่ vCenter เพื่อปรับใช้แรนซัมแวร์
กลุ่ม Memento ได้เริ่มโจมตีเมื่อเดือนที่แล้ว โดยเริ่มจากช่องโหว่ vCenter เพื่อดึงข้อมูลประจำตัวของผู้ดูแลระบบออกจากเซิร์ฟเวอร์เป้าหมาย และมีการฝังตัวผ่าน scheduled tasks จากนั้นมีการใช้ RDP tunneled over SSH เพื่อกระจายมัลแวร์ไปในระบบเครือข่ายอื่นๆ ของเหยื่อ
หลังจากนั้นผู้โจมตีใช้ WinRAR เพื่อสร้างไฟล์ Archive ของไฟล์ที่ถูกขโมย และส่งกลับไปหาตัวผู้โจมตี สุดท้ายพวกเขาใช้ยูทิลิตี้การล้างข้อมูล BCWipe ของ Jetico เพื่อลบร่องรอยที่หลงเหลืออยู่ จากนั้นจึงใช้แรนซัมแวร์ที่ใช้ Python สำหรับการเข้ารหัสแบบ AES
อย่างไรก็ตามวิธีการแบบเดิมของกลุ่ม Memento ในการเข้ารหัสไฟล์มีระบบที่สามารถป้องกันแรนซัมแวร์ได้ ทำให้ขั้นตอนการเข้ารหัสถูกตรวจพบ และหยุดก่อนที่จะเกิดความเสียหาย
โดยกลุ่ม Memento ได้พยายามเลี่ยงการตรวจจับแรนซัมแวร์ของซอฟต์แวร์รักษาความปลอดภัยต่างๆ จึงเลิกใช้วิธีการเข้ารหัสแบบเดิม และใช้วิธีย้ายไฟล์ไปยัง Archives ที่มีการล็อคด้วยรหัสผ่านแทน เมื่อใช้วิธีนี้ กลุ่ม Memento จะย้ายไฟล์ไปยัง WinRAR archives และตั้งรหัสผ่านที่รัดกุมสำหรับการป้องกันการเข้าถึง เข้ารหัสคีย์นั้น และสุดท้ายจะลบไฟล์ต้นฉบับ
กลุ่ม Memento มีการเรียกค่าไถ่ให้เหยื่อจ่ายเงิน 15.95 BTC ($940,000) สำหรับการกู้คืนข้อมูลทั้งหมด หรือ 0.099 BTC (5,850 ดอลลาร์) ต่อไฟล์
ดังนั้น หากมีการใช้งาน VMware vCenter Server หรือ Cloud Foundation ควรอัปเดตเป็นเวอร์ชันล่าสุดเพื่อแก้ไขช่องโหว่ดังกล่าว
ที่มา: bleepingcomputer
You must be logged in to post a comment.