โทรจัน Qakbot หรือที่เรียกว่า QBot หรือ Pinkslipbot เป็นโทรจันที่ถูกใช้กลุ่มผู้ไม่หวังดีที่มีเป้าหมายหลักในการโจมตีทางด้านธนาคารและการเงิน พบการใช้งานตั้งแต่ปี 2017 มีการแพร่กระจายผ่าน payload เชื่อมต่อ Server C&C และ ปัจจุบันเริ่มมีการใช้งานไปในวงกว้างมากขึ้น

นักวิจัยด้านความปลอดภัย Alien Labs สังเกตเห็นแคมเปญที่พึ่งเกิดขึ้นใหม่ซึ่งเหยื่อที่ตกเป็นเป้าหมายด้วยอีเมลล์ล่อลวงที่เป็นอันตราย จากผู้รับที่มีความน่าเชื่อถือ หรือมีการติดต่อสื่อสารระหว่างกันอยู่แล้ว

โดย email account และข้อมูลภายในเมล์ที่ถูกขโมยออกไป สามารถสร้างผลกระทบได้ตั้งแต่ขนาดเล็กไปจนถึงขนาดใหญ่ ซึ่งหลายๆองค์กรสามารถถูกกำหนดเป็นเป้าหมาย จาก email ของผู้ตกเป็นเหยื่อก่อนหน้า

เมื่อเปิดไฟล์ที่เป็นอันตราย โดยสถานะไฟล์จะถูกเรียกว่า DocuSign โดยซอฟต์แวร์ยอดนิยมที่ใช้ในการแพร่กระจาย malicious คือ Excel ใช้ประโยชน์จาก Macros Excel 4.0 (XML macros) ทำการซ่อน sheets ดาวน์โหลด QakBot และ payload จากอินเทอเน็ตเชื่อมต่อกับเซิร์ฟเวอร์ผู้โจมตี ก่อนที่จะเข้าสู่ Payload หลัก QakBot loader จะทำการทดสอบสิ่งที่เกิดขึ้นกับเครื่องที่ติดตั้งอยู่เพื่อเลือกว่าจะทำการดาวน์โหลดไฟล์อะไรมาติดตั้งบนเครื่องของเหยื่อต่อไป โดย Qakbot จะมีการเช็คสภาพแวดล้อมของเครื่องว่าเป็น Virtual Machine และหาว่าเครื่องดังกล่าวมีการลงโปรแกรม Antivirus หรือ common security researcher tools ไว้ภายในเครื่องหรือไม่

เพื่อให้การตรวจจับและวิเคราะห์ยากขึ้น QakBot จะเข้ารหัส String และถอดรหัสเมื่อมีการรันโปรเซส เมื่อดำเนินการเสร็จ จะดำเนินการลบข้อมูลออกจาก memory ทันที จุดเด่นของ โทรจัน QakBot ที่ใช้ในการ phishing ในอีเมล์ปลอมจะมีข้อมูล เช่นการจัดส่งใบสั่งงานคำขอเร่งด่วนใบแจ้งหนี้การอ้างสิทธิ์ ฯลฯ อีเมลฟิชชิ่งจะมีรูปแบบสลับกันระหว่าง ไฟล์แนบและลิงค์ QakBot มักใช้เป็นทางคล้ายกับ TrickBot หรือ Emotet ซึ่งนำไปสู่การใช้ประโยชน์ในการติดตั้ง Ransomware ต่อไป

ที่มา : ehackingnews

Cring ransomware เป็นมัลแวร์เรียกค่าไถ่สายพันธุ์ล่าสุดที่พบว่าอาศัยช่องโหว่ของ Fortinet SSL VPN (CVE-2018-13379) ที่สามารถถูกใช้เพื่อดึงข้อมูล credentials ของผู้ใช้งาน VPN ออกมาได้โดยไม่ต้องพิสูจน์ตัวตนผ่านการส่ง http request ที่ถูกดัดแปลงแล้ว (Path Traversal) และได้มีการเปิดเผย IP ของอุปกรณ์ที่มีช่องโหว่ออกมาเมื่อปลายปีที่แล้ว มัลแวร์เรียกค่าไถ่ตัวนี้เป็น human-operated ransomware นั่นคือเป็น ransomware ที่มีการปฏิบัติการและควบคุมโดยแฮ็กเกอร์อยู่เบื้องหลัง

เริ่มต้นด้วยการโจมตีช่องโหว่ของ Fortinet VPN จากนั้นจึงอาศัยข้อมูลที่ได้มาเข้าไปติดตั้ง Mimikatz ที่ถูกดัดแปลงลงบนเครื่องเหยื่อ ตามด้วย CobaltStrike และวาง ransomware ด้วยการดาวน์โหลดผ่านโปรแกรม CertUtil ของ Windows เอง เพื่อหลบหลีกการตรวจจับ Mimikatz จะถูกใช้เพื่อกวาด credentials ที่อาจหลงเหลืออยู่บนเครื่องเหยื่อ เพื่อนำไปเข้าถึงเครื่องอื่นๆ ต่อไป (Lateral movement) เช่น domain admin เป็นต้น จากนั้นจึงใช้ CobaltStrike เป็นเครื่องมือในการแพร่กระจายไฟล์ ransomware ไปยังเครื่องอื่นๆ

ถึงแม้ช่องโหว่ที่ค่อนข้างเก่า แต่ก็มีความรุนแรงสูงมาก (9.8/10) ผู้ใช้งาน Fortinet SSL VPN ที่ยังเป็น FortiOS 6.0.0 to 6.0.4, 5.6.3 to 5.6.7 และ 5.4.6 ถึง 5.4.12 ควรตรวจสอบอุปกรณ์ที่ใช้งานอยู่ และดำเนินการแพทช์โดยเร็วที่สุด สำหรับ IOCs สามารถศึกษาเพิ่มเติมได้จากรายงานของ Kaspersky ตามลิงก์ด้านล่าง : kaspersky

ที่มา: bleepingcomputer

ตำรวจเกาหลีใต้ประกาศการเข้าจับกุมผู้ต้องสงสัยวัย 20 ปีเมื่อช่วงต้นเดือนที่ผ่านมาหลังจากพบหลักฐานซึ่งบ่งชี้ว่าผู้ต้องสงสัยคนนี้มีส่วนเกี่ยวข้องกับการแพร่กระจายมัลแวร์เรียกค่าไถ่ Gandcrab ผ่านการใช้บริการ Ransomware-as-a-Service เพื่อแพร่กระจายมัลแวร์เรียกค่าไถ่ผ่านทางอีเมลกับเป้าหมายในประเทศเกาหลีใต้ กระบวนการสืบสวนถูกดำเนินการผ่านการติดตามลักษณะธุรกรรมของ cryptocurenncy ที่มีการเชื่อมโยงกับบัญชีธนาคารจริง

จากการตรวจสอบ ผู้ต้องสงสัยรายนี้มีพฤติกรรมในการส่งอีเมลกว่า 6,500 ฉบับในช่วงระหว่างเดือนกุมภาพันธ์ถึงเดือนมิถุนายน 2019 โดยปลอมแปลงเอกสารทางราชการในลักษณะต่าง ๆ พร้อมกับแนบไฟล์ของมัลแวร์ Gandcrab เมื่อกระบวนการเข้ารหัสเสร็จสิ้น มัลแวร์เรียกค่าไถ่จะเรียกเงินค่าไถ่เป็นจำนวนประมาณ 1,300 ดอลลาร์สหรัฐฯ หรือประมาณ 40,000 บาทในสกุลบิทคอยน์ การติดตามการโจมตีพบผู้เสียหายแล้วกว่า 120 ราย

แม้ลักษณะการส่งอีเมลเป็นจำนวนมาก ทางหน่วยงานเกาหลีกล่าวว่าผู้ต้องสงสัยทำเงินจากปฏิบัติการได้เพียงแค่ 12 ล้านวอน หรือประมาณ 320,000 บาทเท่านั้น เนื่องจากเขาจะได้รับเงินจากการจ่ายค่าไถ่เพียงแค่ 7% จากมูลค่าทั้งหมดที่ถูกจ่ายผ่านบริการ Ransomware-as-a-Service

ที่มา: therecord

นักวิจัยพบ ransomware ตัวใหม่ DearCry บนบริการ ยืนยันสายพันธุ์ ransomware malwarehunterteam เมื่อวันที่ 9 มีนาคม 2021 ที่ผ่านมา โดยเหยื่อได้มีการตั้งกระทู้ให้ข้อมูลเกี่ยวข้องกับการติด DearCry ว่าเขาคิดว่าเครื่อง Microsoft Exchange ของเขาที่ถูกเข้ารหัสถูกโจมตีโดยกลุ่มช่องโหว่ ProxyLogon บน Microsoft Exchange ก่อนที่จะมีการวาง DearCry เพื่อเข้ารหัส

ทีม Microsoft Security Intelligence ยืนยันการค้นพบ DearCry ดังกล่าวโดยระบุว่า DearCry เป็นการโจมตีแบบ human operated ransomware ซึ่งเป็นการโจมตีที่มีผู้โจมตีลงมือเจาะระบบเพื่อเข้าไปรันมัลแวร์ และยืนยันว่าผู้โจมตีที่อยู่เบื้องหลัง DearCry มีการใช้ช่องโหว่บน Microsoft Exchange

ผู้ดูแลระบบควรทำการอัปเดตแพตช์และควรทำการตรวจสอบระบบโดยละเอียดเพื่อหา IOC ว่าถูกโจมตีแล้วหรือไม่ เนื่องจากในกรณีที่อัปเดตแพตช์แต่ถูกโจมตีไปแล้ว จะมีโอกาสที่ผู้โจมตีฝัง web shell สามารถรันคำสั่งอันตรายบนเครื่องต่อได้

ที่มา : bleepingcomputer

นักวิจัยด้านความปลอดภัย "3xp0rt" ได้เปิดเผยถึงพฤติกรรมของกลุ่ม REvil ransomware ซึ่งได้ประกาศถึงการนำกลยุทธ์ใหม่ที่ใช้บริษัทภายในเครือของผู้ที่ติดแรนซัมแวร์เพื่อกดดันผู้ที่ตกเป็นเหยื่อโดยใช้การโจมตี DDoS และการโทรไปยังนักข่าวและพันธมิตรทางธุรกิจของเหยื่อเพื่อให้ข้อมูลเกี่ยวกับการโจมตีที่เกิดขึ้น เพื่อกดดันให้เหยื่อยอมจ่ายเงิน

กลุ่ม REvil ransomware หรือที่เรียกว่า Sodinokibi เป็นกลุ่มผู้ให้บริการแรนซัมแวร์หรือ Ransomware-as-a-service (RaaS) ซึ่งภายในกลุ่มจะมีบริษัทที่รับให้บริการบุกรุกเครือข่ายขององค์กรที่ตกเป็นเป้าหมายและทำการติดตั้งแรนซัมแวร์ลงไปภายในเครือข่ายเพื่อทำการเรียกค่าไถ่ผู้ที่ตกเป็นเหยื่อ

กลุ่ม REvil ransomware ได้มีการประกาศในเว็บบอร์ดใต้ดินเพื่อหาผู้ที่สามารถทำการโจมตีแบบ DDoS ได้เพื่อเข้าร่วมทีมขู่กรรโชก รวมไปถึงผู้ที่จะทำหน้าที่ติดต่อ เปิดเผยและข่มขู่หากบริษัทซึ่งโดนแรนซัมแวร์ไม่ยอมออกมายอมรับและจ่ายค่าไถ่

นอกจากการโทรเพื่อกดดันเหยื่อแล้ว REvil ยังให้ทำการโจมตี DDoS ไปยัง Layer 3 และ Layer 7 ของบริษัทที่ตกเป็นเหยื่อเพื่อสร้างแรงกดดัน โดยทั่วไปการโจมตี DDoS Layer 3 มักใช้เพื่อจำกัดการเชื่อมต่ออินเทอร์เน็ตของบริษัทที่ตกเป็นเหยื่อ แต่ในทางตรงกันข้ามกลุ่มแรนซัมแวร์จะใช้การโจมตี DDoS แบบ Layer 7 เพื่อทำให้แอปพลิเคชันของเหยื่อที่สามารถเข้าถึงได้จากสาธารณะเช่นเว็บเซิร์ฟเวอร์หยุดให้บริการ

ทั้งนี้ผู้ใช้ควรมีความระมัดระวังในการใช้งานอีเมลหรือการใช้งานการเข้าเยื่ยมชมเว็บไซต์ที่ไม่รู้จักและไม่ควรทำการดาวน์โหลดไฟล์ใด ๆ จากอีเมล์หรือเว็บไซต์ที่ไม่รู้จักเพื่อเป็นการป้องกันการตกเป็นเหยื่อของแรนซัมแวร์

ที่มา: bleepingcomputer

Kia Motors America ถูกโจมตีด้วย Ransomware โดยกลุ่ม DoppelPaymer ซึ่งส่งผลกระทบให้ระบบไอทีของบริษัทหยุดการให้บริการ อีกทั้งยังถูกเรียกร้องค่าไถ่สำหรับตัวถอดรหัสและการไม่เปิดเผยข้อมูลที่ขโมยมารั่วไหลสู่สาธารณะเป็นจำนวนเงิน 20 ล้านดอลลาร์

ตามรายงานข่าวระบุว่า Kia Motors America ประสบปัญหาระบบไอทีหยุดให้บริการทั่วประเทศในสหรัฐอเมริกา ซึ่งการหยุดให้บริการดังกล่าวส่งผลกระทบต่อแอปพลิเคชัน UVO, ระบบการชำระเงินและเว็บไซต์ภายในที่ให้บริการกับตัวแทนจำหน่ายเกือบ 800 แห่งในสหรัฐอเมริกา

BleepingComputer ได้ทำการสอบถามไปยัง Kia Motors America และได้รับหลักฐานการโจมตีโดยเป็นโน้ตเรียกค่าไถ่จากกลุ่ม DoppelPaymer Ransomware โดยข้อความในบันทึกเรียกค่าไถ่ได้ระบุว่าเป้าหมายของกลุ่ม DoppelPaymer ในครั้งนี้นั้นคือ Hyundai Motor America ซึ่งเป็นบริษัทแม่ของ Kia อีกทั้งภายในบันทึกข้อความยังมีลิงก์ที่ลิงก์ไปยังหน้าเว็บไซต์การชำระเงินของกลุ่ม DoppelPaymer บนเครือข่าย Tor ซึ่งภายในเว็บไซต์การชำระเงินของกลุ่ม DoppelPaymer ได้ระบุข้อความเรียกร้องเงินจำนวน 404 bitcoins หรือมูลค่าประมาณ 20 ล้านดอลลาร์ (600 ล้านบาท) เพื่อแลกกับตัวถอดรหัสและการไม่เปิดเผยข้อมูลที่ขโมยมารั่วไหลสู่สาธารณะ นอกจากนี้หากทาง Kia Motors America ไม่มีการจ่ายค่าไถ่ภายในกรอบเวลาที่กำหนดจำนวนเงินจะเพิ่มเป็น 600 bitcoins หรือ 30 ล้านเหรียญ (900 ล้านบาท)

ในแถลงการณ์ล่าสุดของ Kia Motors America ได้ระบุว่าในขณะนี้ทางบริษัทกำลังประสบปัญหาระบบหยุดทำงานเป็นเวลานานและระบบที่ได้รับผลกระทบ ได้แก่ Kia Owners Portal, UVO Mobile Apps และเว็บพอร์ทัล Consumer Affairs กำลังอยู่ในการแก้ไขระบบโดยเร็วที่สุด

ที่มา: bleepingcomputer

สถานีวิทยุ France Inter ของฝรั่งเศสได้รายงานถึงการจับกุมหนึ่งในสมาชิกของกลุ่ม Egregor ransomware ในยูเครนเมื่อสัปดาห์ที่ผ่านมา โดยการจับกุมซึ่งยังไม่ได้รับการประกาศอย่างเป็นทางการเป็นผลมาจากการสืบสวนร่วมกันระหว่างตำรวจฝรั่งเศสและยูเครน

ตามรายงานของ France Inter ระบุว่าผู้ต้องสงสัยที่ถูกจับกุมได้เชื่อว่าเป็นบริษัทในเครือ (หรือหุ้นส่วน) ของกลุ่ม Egregor ransomware ซึ่งในขณะนี้ยังไม่มีการเปิดเผยรายชื่อผู้ต้องสงสัย

Egregor ransomware ได้เริ่มปฏิบัติการโจมตีด้วยแรนซัมแวร์ในเดือนกันยายนปี 2020 โดยใช้โมเดล Ransomware-as-a-Service (RaaS) ซึ่งกลุ่ม Egregor ได้ทำการเช่าแรนซัมแวร์สายพันธุ์หนึ่ง จากนั้นอาศัยอาชญากรรมทางไซเบอร์กลุ่มอื่นๆ ในการบุกรุกเข้าสู่เครือข่ายขององค์กรและใช้แรนซัมแวร์ที่เข้ารหัสไฟล์กับเครือข่ายขององค์กรที่ถูกบุกรุก โดยผู้ที่ตกเป็นเหยื่อและไม่ยอมจ่ายค่าไถ่จะถูกปล่อยไฟล์ที่ถูกบุกรุกลงเว็บไซต์ของกลุ่มเพื่อกดดันให้ทำการจ่ายเงินค่าไถ่ นอกจากนี้กลุ่ม Egregor จะทำการฟอกเงินค่าไถ่เหล่านี้ผ่านระบบของ Bitcoin เพื่อหลีกเลี่ยงการตรวจสอบ

เจ้าหน้าตำรวจของฝรั่งเศสได้ระบุว่าการสอบสวนเริ่มขึ้นเมื่อปีที่แล้วหลังจากที่กลุ่ม Egregor ได้มีส่วนเกี่ยวกับการโจมตีบริษัทของฝรั่งเศสหลายบริษัท เช่น Ubisoft และ Gefco ซึ่งตำรวจฝรั่งเศสพร้อมกับหน่วยงาน European counterpart ได้สามารถติดตามจับกุมสมาชิกของกลุ่ม Egregor พร้อมกับเซิฟเวอร์ที่เป็นโครงสร้างพื้นฐานได้ที่ยูเครน

ทั้งนี้ Egregor ransomware เป็นแรนซัมแวร์สายพันธุ์ที่มีส่วนแบ่งทางการตลาดถึง 14.9% ตามรายงานของ Coveware ที่ได้ทำการตีพิมพ์ในเดือนที่ผ่านมา ซึ่งแรนซัมแวร์ได้รับการประเมินว่าเป็นแรนซัมแวร์หนึ่งในสองสายพันธุ์ที่ถูกใช้งานมากที่สุดในไตรมาส 4 ปี 2020 ซึ่งมีรายได้ค่าไถ่อยู่ที่ระหว่าง 40 ล้านถึง 50 ล้านดอลลาร์

ที่มา: zdnet.

บริษัทเกมชื่อดัง CD Projekt Red ผู้ผลิตเกมชื่อดังอย่าง Cyberpunk 2077 ออกมาประกาศว่าบริษัทตกเป็นเหยื่อล่าสุดของการโจมตีแบบพุ่งเป้าโดยมัลแวร์เรียกค่าไถ่ โดยผู้โจมตีได้เข้าถึงระบบภายใน เก็บและโอนถ่ายข้อมูลบางส่วนออก จากนั้นทำการเข้ารหัสข้อมูลส่วนที่เหลือพร้อมกับเรียกค่าไถ่

เคสการโจมตี CD Projekt Red นับว่าเป็นกรณีศึกษาที่ดีมากกรณีหนึ่ง เนื่องจากทางบริษัทได้มีการทำแบ็คอัพระบบเอาไว้เสมอ และแบ็คอัพดังกล่าวนั้นไม่ได้รับผลกระทบจากการโจมตี ทางบริษัทจึงมีแผนที่จะไม่จ่ายค่าไถ่และกู้คืนระบบขึ้นมาจากแบ็คอัพโดยทันที นอกจากนั้น CD Projekt Red ยังได้มีการออกแถลงการณ์อย่างเป็นทางการ และให้ข้อมูลเกี่ยวกับการโจมตีซึ่งรวมไปถึงโน้ตเรียกค่าไถ่ที่ผู้โจมตีทิ้งเอาไวด้วย

จากข้อมูลที่เผยแพร่โดย CD Projekt Red นักวิจัยด้านความปลอดภัย Fabian Wosar จาก Emsisoft ได้เชื่อมโยงข้อมูลดังกล่าวและพบความสอดคล้องกับกลุ่มมัลแวร์เรียกค่าไถ่ที่ใช้ชื่อว่า HelloKitty ซึ่งเริ่มมีปฏิบัติการตั้งแต่เดือนพฤศจิกายนปีที่แล้ว เป็นต้นมา กลุ่ม HelloKitty ยังเคยทำการโจมตีบริษัทด้านพลังงานสัญชาติบราซิลอย่าง CEMIG ด้วย

ในขณะนี้ข้อมูลเกี่ยวกับผู้โจมตีและภัยคุกคามยังมีเพียงแค่ส่วนที่เป็นมัลแวร์เรียกค่าไถ่ ยังไม่ปรากฎข้อมูลเพิ่มเติมว่าผู้โจมตีมีพฤติกรรมการโจมตีอย่างไรบ้างจนสามารถรันมัลแวร์เรียกค่าไถ่ได้ในท้ายที่สุด ขอให้ติดตามการอัปเดตข้อมูลในอนาคตต่อไป

ผลจากการโจมตี CD Projekt Red เริ่มทำให้มีผู้แอบอ้างว่าได้ครอบครองข้อมูลจากการโจมตีบริษัทฯ และพร้อมจะนำมาเปิดประมูลขายให้กับผู้ให้ราคาสูงสุด ทั้งนี้ยังไม่มีการประกาศขายหรือการประมูลใดที่มีข้อมูลยืนยันและน่าเชื่อมากพอว่าผู้ที่ประกาศขายนั้นมีการครอบครองข้อมูลจริง

ที่มา: twitter, facebook, bleepingcomputer, securityweek, theregister, threatpost, zdnet, bleepingcomputer, twitter

นักวิจัยด้านความปลอดภัย M. Shahpasandi ได้เปิดเผยถึงความเคลื่อนไหวล่าสุดจากผู้ดูแลระบบ Ziggy Ransomware ซึ่งได้ทำการประกาศผ่านทาง Telegram ว่ากำลังปิดระบบการทำงานของ Ziggy Ransomware และจะปล่อยคีย์ถอดรหัสทั้งหมดให้เเก่ผู้ที่ตกเป็นเหยื่อ

ผู้ดูแลระบบ Ziggy Ransomware กล่าวว่าพวกเขารู้สึกผิดเกี่ยวกับการกระทำและมีความกังวลเกี่ยวกับการดำเนินการบังคับใช้กฏหมายซึ่งเกิดขึ้นแล้วกับ Emotet และ Netwalker Ransomware เป็นเหตุให้ผู้ดูแลระบบจึงตัดสินใจปิดระบบและปล่อยคีย์ทั้งหมดให้เเก่ผู้ที่ตกเป็นเหยื่อ

ผู้ดูแลระบบ Ziggy Ransomware ได้ทำการโพสต์ไฟล์ SQL ที่มีคีย์ถอดรหัสจำนวน 922 คีย์สำหรับเหยื่อที่ถูกเข้ารหัส ซึ่งไฟล์ SQL จะแสดงคีย์สามคีย์ที่จำเป็นในการถอดรหัสไฟล์ นอกจากนี้ผู้ดูแลระบบแรนซัมแวร์ยังโพสต์ตัวถอดรหัสและซอร์สโค้ดสำหรับตัวถอดรหัสอื่นที่ทำให้สามารถสร้างซอฟต์แวร์ถอดรหัสแบบออฟไลน์ เพื่อถอดรหัสให้กับเหยื่อที่ติดไวรัสและไม่สามารถเชื่อมต่อกับอินเทอร์เน็ตหรือไม่สามารถเข้าถึงเซิร์ฟเวอร์ที่ดูแลควบคุมได้

ทั้งนี้ BleepingComputer ได้แนะนำให้ผู้ที่ตกเป็นเหยื่อใช้ตัวถอดรหัสของบริษัทรักษาความปลอดภัยอย่าง Emsisoft แทนที่จะเป็นตัวถอดรหัสที่มาจากกลุ่ม Ziggy Ransomware เพื่อ ป้องกันมัลแวร์อื่น ๆ เช่นแบ็คดอร์ที่อาจเเฝงไว้กับตัวถอดรหัส

ที่มา: bleepingcomputer

นักวิจัยด้านความปลอดภัยตรวจพบกลุ่มแรนซัมแวร์กำลังใช้ประโยชน์จากช่องโหว่ในผลิตภัณฑ์ VMWare ESXi เพื่อเข้ายึดครองและเข้ารหัสฮาร์ดไดรฟ์ของ Virtual Machine (VM) ที่ถูกใช้งานในองค์กร

ตามรายงานจากนักวิจัยด้านความปลอดภัยที่ให้ข้อมูลกับ ZDNet พบว่ากลุ่มแรมซัมแวร์กำลังใช้ประโยชน์จากช่องโหว่ CVE-2019-5544 และ CVE-2020-3992 ซึ่งเป็นช่องโหว่ในไฮเปอร์ไวเซอร์โซลูชันที่จะอนุญาตให้เครื่อง VM หลาย ๆ เครื่องแชร์ที่เก็บข้อมูลฮาร์ดไดรฟ์เดียวกันผ่าน Service Location Protocol (SLP) ช่องโหว่ดังกล่าวจะทำให้ผู้โจมตีที่อยู่ภายในเครือข่ายเดียวกันสามารถส่งคำขอ SLP ที่เป็นอันตรายไปยังอุปกรณ์ ESXi และเข้าควบคุมได้

ตามรายงานจากนักวิจัยด้านความปลอดภัยระบุอีกว่ากลุ่ม RansomExx ได้เริ่มต้นใช้ประโยชน์จากช่องโหว่ดังกล่าวในการโจมตีอินสแตนซ์ ESXi และเข้ารหัสฮาร์ดดิสก์ของเครื่อง VM ที่อยู่ภายในเครือข่าย โดยหลังจากเหตุการณ์ นักวิจัยได้พบข้อมูลการประกาศการโจมตีในลักษณะเดียวกันโดยกลุ่ม Babuk Locker ransomware ในฟอรั่มใต้ดิน

ทั้งนี้ผู้ดูแลระบบ VMWare ESXi ควรรีบอัปเดตแพตช์ความปลอดภัยให้เป็นเวอร์ชันล่าสุดโดยด่วนเพื่อป้องกันการตกเป็นเป้าหมายของกลุ่มปฏิบัติการโจมตีด้วยแรมซัมแวร์

ที่มา: zdnet