แรนซัมแวร์ Black Basta เวอร์ชัน Linux กำหนดเป้าหมายเซิร์ฟเวอร์ VMware ESXi
Black Basta เป็นแรนซัมแวร์ตัวล่าสุดที่เพิ่มการเข้ารหัส VMware ESXi virtual machine (VMs) ที่ทำงานบนเซิร์ฟเวอร์ Linux ขององค์กร
กลุ่มแรนซัมแวร์ส่วนใหญ่กําลังมุ่งเน้นไปที่การโจมตี ESXi VMs เนื่องจากวิธีการนี้สอดคล้องกับการกําหนดเป้าหมายในลักษณะองค์กร เนื่องจากทำให้สามารถใช้ประโยชน์จากการเข้ารหัสเซิร์ฟเวอร์หลายเครื่องได้เร็วขึ้นด้วยคําสั่งเพียงครั้งเดียว
การเข้ารหัสของแรนซัมแวร์กับ VM นั้นได้ผลเป็นอย่างมาก เนื่องจากหลายบริษัทมีการย้ายระบบไปยัง virtual machine เนื่องจากช่วยให้จัดการอุปกรณ์ได้ง่ายขึ้น และใช้ทรัพยากรอย่างมีประสิทธิภาพมากขึ้น
กลุ่มแรนซัมแวร์ Black Basta มุ่งเป้าไปที่เซิร์ฟเวอร์ ESXi
ในรายงานฉบับใหม่ นักวิเคราะห์จาก Uptycs Threat Research เปิดเผยว่าพวกเขาพบไฟล์ไบนารีจาก Black Basta ransomware ตัวใหม่ที่กำหนดเป้าหมายไปยังเซิร์ฟเวอร์ VMWare ESXi โดยเฉพาะ
ตัวเข้ารหัสของ ransomware บน Linux นั้นไม่มีอะไรใหม่ และ BleepingComputer เคยได้รายงานเกี่ยวกับตัวเข้ารหัสที่คล้ายกันซึ่งเผยแพร่โดยกลุ่มอื่น ๆ รวมถึง LockBit, HelloKitty, BlackMatter, REvil, AvosLocker, RansomEXX และ Hive
เช่นเดียวกับตัวเข้ารหัสบน Linux อื่น ๆ ไบนารีแรนซัมแวร์ของ Black Basta จะค้นหา / vmfs / volumes บนเครื่อง Virtual machine ที่อยู่บนเซิร์ฟเวอร์ ESXi ที่ถูกโจมตี แต่ BleepingComputer ไม่พบหลักฐานที่ระบุถึงคำสั่งในการพยายามโจมตีที่ Paths อื่นๆ แสดงให้เห็นว่าแรนซัมแวร์กําหนดเป้าหมายเฉพาะเซิร์ฟเวอร์ที่เป็น ESXi เท่านั้น
แรนซัมแวร์ใช้อัลกอริทึม ChaCha20 เพื่อเข้ารหัสไฟล์ นอกจากนี้ยังใช้ประโยชน์จากมัลติเธรดเพื่อใช้โปรเซสเซอร์หลายตัว ทำให้กระบวนการเข้ารหัสทำได้เร็วขึ้นอีกด้วย
ขณะเข้ารหัส แรนซัมแวร์จะเพิ่มนามสกุล .basta ต่อท้ายชื่อไฟล์ที่เข้ารหัส และสร้างบันทึกค่าไถ่ชื่อ readme.txt ในแต่ละโฟลเดอร์
Siddharth Sharma จาก Uptcys และ Nischay Hegde จาก Uptcys เปิดเผยว่า Black Basta ถูกพบครั้งแรกในในช่วงเดือนเมษายนปีนี้ โดยเวอร์ชันต่างๆ จะมุ่งเป้าไปที่ระบบปฏิบัติการ Windows
จากลิงก์การแชทต่อรองเรียกค่าไถ่ และนามสกุลไฟล์ที่เข้ารหัส เชื่อว่าผู้ที่อยู่เบื้องหลังแคมเปญนี้เป็นกลุ่มเดียวกันกับที่กำหนดเป้าหมายบนระบบปฏิบัติการ Windows ก่อนหน้านี้
แรนซัมแวร์ Black Basta ถูกพบครั้งแรกในสัปดาห์ที่สองของเดือนเมษายน เนื่องจากปฏิบัติการของ Black Basta ได้เพิ่มขึ้นอย่างรวดเร็ว โดยมุ่งเป้าไปที่บริษัทต่างๆ ทั่วโลก แม้ว่าค่าไถ่ของกลุ่มผู้โจมตีจะแตกต่างกันไปตามเหยื่อแต่ละราย แต่ BleepingComputer ทราบว่ามีอย่างน้อยหนึ่งรายที่ได้รับคำขู่เรียกค่าไถ่เป็นจำนวนเงินมากกว่า 2 ล้านดอลลาร์ และเพื่อหลีกเลี่ยงไม่ให้ถูกปล่อยข้อมูลรั่วไหลออกสู่สาธารณะ
แม้ว่าจะไม่ค่อยมีใครรู้จักเกี่ยวกับแรนซัมแวร์กลุ่มนี้มากนัก แต่นักวิจัยเชื่อว่าพวกเขาไม่ใช่กลุ่มใหม่ แต่เป็นการรีแบรนด์มาจากกลุ่มแรนซัมแวร์เดิม เนื่องจากความสามารถในการเจาะกลุ่มเหยื่อรายใหม่ได้อย่างรวดเร็ว และรูปแบบการเจรจา (คาดกันว่าอาจเป็นการรีแบรนด์จากกลุ่ม Conti ransomware)
Wosar อธิบายว่า "สาเหตุที่กลุ่มแรนซัมแวร์ส่วนใหญ่หันมาใช้แรนซัมแวร์เวอร์ชันบน Linux ก็เนื่องมาจากการกำหนดเป้าหมายซึ่งเป็น ESXi โดยเฉพาะ"
ที่มา : bleepingcomputer
You must be logged in to post a comment.