ผู้เชี่ยวชาญจาก Trend Micro ได้ค้นพบแรนซัมแวร์ตัวใหม่ที่ที่มีชื่อว่า Cheers ซึ่งมีเป้าหมายหลัก ๆ คือ VMware ESXi Server ที่เป็นแพลตฟอร์มที่นิยมใช้กันอย่างแพร่หลายทั่วโลก
ระบบสำคัญของหลายองค์กรต่างอยู่ในแพลตฟอร์มนี้ ซึ่งหากโจมตีได้สำเร็จจนทำให้ระบบหยุดทำงาน ก็จะส่งผลต่อการดำเนินธุรกิจรวมไปถึงกระทบต่อชื่อเสียงขององค์กรอีกด้วย
ลักษณะการทำงาน
เมื่อเซิร์ฟเวอร์ VMware ESXi ถูกโจมตีได้สำเร็จ แรนซัมแวร์จะทำการสแกนหาไฟล์ที่มีนามสกุล .log, .vmdk, .vmem, .vswp, และไฟล์ extensions ที่นามสกุล .vmsn
ซึ่งเป็นไฟล์สำคัญของ ESXi ทั้งหมด เช่นไฟล์ Snapshot หรือ log files จากนั้นจะทำการเปลี่ยนนามสกุลไฟเหล่านั้นล์เป็น “.Cheers” แล้วทำการเข้ารหัสไฟล์โดยใช้ SOSEMANUK stream cipher และลบคีย์ในการกู้คืนออก ซึ่งระหว่างแรนซัมแวร์ทำการสแกนโฟลเดอร์เพื่อเข้ารหัส มันก็จะทำการสร้าง Text ไฟล์ที่ชื่อ ‘How To Restore Your Files.txt’ ในแต่ละโฟลเดอร์ด้วย
หลังจากทำการเข้ารหัสเรียบร้อย เซิร์ฟเวอร์จะถูกปิดลงโดยคำสั่ง esxcli ต่อไปนี้
esxcli vm process kill –type=force –world-id=$(esxcli vm process list|grep ‘World ID’|awk ‘{print $3}’)
อย่างไรก็ตาม การเปลี่ยนชื่อไฟล์เป็น “.Cheers” จะถูกทำงานก่อนการเข้ารหัส ดังนั้นหากสิทธิ์ของ User ที่ถูกโจมตีไม่สูงพอที่จะแก้ไขไฟล์ได้ การเข้ารหัสครั้งนี้จะไม่สำเร็จ
แนวทางการป้องกัน
- ผู้ดูแลระบบควรให้สิทธิ์ของ User เท่าที่จำเป็นในการใช้งาน
- Update Software ให้เป็นเวอร์ชันล่าสุดอยู่เสมอ
- คอยติดตามข่าวสารอย่างใกล้ชิด
ที่มา : bleepingcomputer
You must be logged in to post a comment.