ทีม Cyber Security Incident Response (CSIRT) ของชิลีได้ออกมารายงานว่าถูกโจมตีด้วยแรนซัมแวร์ ส่งผลกระทบต่อการดำเนินงาน และบริการออนไลน์ของหน่วยงานรัฐบาลในประเทศ

รายละเอียดการโจมตี

การโจมตีเกิดขึ้นในวันพฤหัสบดีที่ 25 สิงหาคม 2565 โดยมีเป้าหมายคือ Microsoft Server และ VMware ESXi Server
บน ESXi Server แรนซัมแวร์เริ่มต้นโดยหยุดการทำงานของระบบที่เป็น VM ทั้งหมด จากนั้นใช้อัลกอริทึม NTRUEncrypt public key ในการเข้ารหัส โดยเป้าหมายคือไฟล์ประเภท log files (.log), executable files (.exe), dynamic library files (.dll), swap files (.vswp), virtual disks (. vmdk), snapshot (.vmsn) files, และ virtual machine memory (.vmem) files
เมื่อเข้ารหัสเรียบร้อยแล้ว ไฟล์นามสกุลจะถูกต่อท้ายด้วย ".crypt"
จากนั้นผู้โจมตีได้เสนอช่องทางให้รัฐบาลชิลีเพื่อชำระเงินค่าไถ่ โดยกำหนดเวลาไว้ที่ 3 วัน ก่อนมีการขายข้อมูลสู่ DarkWeb
ส่วนระบบปฏิบัติการ Windows มัลแวร์จะใช้ชื่อว่า SecurityUpdate โดยทำการเพิ่ม Reistry เพื่อให้ตัวมันทำงานทันทีหลังมีการเปิดเครื่อง

จากเหตุการณ์ดังกล่าว CSIRT ไม่ได้ชี้แจงว่าถูกมัลแวร์ชนิดใดโจมตี เพียงระบุว่ามัลแวร์ที่พบครั้งนี้มีฟังก์ชันสำหรับขโมยข้อมูลประจำตัวจากเว็บเบราว์เซอร์, แสดงรายการ Removable devices ที่สามารถเข้ารหัส และหลบเลี่ยงการตรวจจับการป้องกันไวรัสโดยใช้การตั้ง Time Out ในการ Execute File

แต่จากพฤติกรรมของมัลแวร์ พบว่าตรงกับแรนซัมแวร์ 'RedAlert' (หรือที่รู้จักว่า "N13V") ที่เปิดตัวไปเมื่อเดือนกรกฎาคม พ.ศ. 2565 ซึ่งปกติ RedAlert จะใช้ extension ".crypt" ในการโจมตี เป้าหมายหลักๆของแรนซัมแวร์ชนิดนี้คือ Windows และ VMWare ESXi Server ส่วนลักษณะการทำงานก็ตรงกับที่รัฐบาลชิลีพบ คือจะหยุดการทำงานของระบบ VM ทั้งหมดก่อนที่จะเข้ารหัส นอกจากนี้ยังใช้อัลกอริทึม NTRUEncrypt public key ในการเข้ารหัส

อย่างไรก็ตามผู้เชี่ยวชาญจาก BleepingComputer ได้ยืนยันจากข้อมูลที่ได้รับว่า Ransomware นี้ไม่มีการสร้างไฟล์เรียกค่าไถ่ขณะเข้ารหัส แต่ใช้การวางไฟล์ก่อนเข้ารหัสแทน คาดว่าเป็นวิธีการหนึ่งที่ใช้ในการปกปิดตัวตนของผู้โจมตี นอกจากนี้ยังใช้วิธีสร้างลิงก์ไปยังเว็บไซต์ที่ไม่ซ้ำกันในเครือข่าย Tor Browser และต้องระบุรหัสผ่านเพื่อเข้าสู่ระบบด้วย

แนวทางการป้องกัน

ตั้งค่า Policy บน Firewall และ Antivirus ให้เหมาะสม
Update Patch VMware และ Microsoft ให้เป็นเวอร์ชันล่าสุด
Backup ข้อมูลอยู่สม่ำเสมอ
สร้าง Awareness ให้กับพนักงาน
จำกัดการเข้าถึงเครือข่าย และกำหนดสิทธิ์การเข้าถึงระบบต่างๆ
ติดตามข่าวสารอย่างสม่ำเสมอ

IOC

ที่มา : bleepingcomputer

ผู้เชี่ยวชาญจาก MalwareHunterTeam ค้นพบ Ransomware ตัวใหม่ชื่อ RedAlert หรือมีอีกชื่อคือ N13V ถูกสร้างขึ้นโดยมีเป้าหมายไปที่ VMware EXSI Server ทั้งระบบปฏิบัติการ Windows และ Linux

โดยในตัว Linux encryptor มีตัวเลือกที่เป็น Command-Line ต่างๆ ให้ผู้โจมตีสามารถดำเนินการกับ VM ก่อนเข้ารหัสไฟล์ได้โดยคำสั่งดังนี้

-w คำสั่งสำหรับหยุดการทำงาน vm ทั้งหมดที่ทำงานอยู่
-p Path ที่จะ encrypt (ซึ่งค่า default มันจะทำการ encrypt ไฟล์ทั้งหมดใน directory เท่านั้น ไม่รวมไฟล์ใน subdirectories)
-f File ที่จะ encrypt
-r เรียกซ้ำ โดยใช้กับ Command -p (search และ encryption จะทำงานบน directory และ subdirectories ทั้งหมด)
-t ตรวจสอบเวลาในการ Encryption (เฉพาะการเข้ารหัสโดยไม่มี Key)
-n ค้นหาไฟล์โดยไม่มีการเข้ารหัส (show ffiles and folders with some info)
-x การทดสอบ Asymmetric cryptography และ DEBUG
-h แสดง Message

ลักษณะการโจมตี

เมื่อผู้โจมตีรัน Command -w Linux Encryptor จะปิด VM ทั้งหมดที่ใช้งานโดยใช้คำสั่ง ESXCLI ต่อไปนี้
esxcli --formatter=csv --format-param=fields=="WorldID,DisplayName" vm process list | tail -n +2 | awk -F $',' '{system("esxcli vm process kill --type=force --world-id=" $1)}'
ในการเข้ารหัสไฟล์ Ransomware จะใช้อัลกอริทึมการเข้ารหัส NTRUENCRYPT ซึ่งรองรับ Parameter Sets
เมื่อเข้ารหัสไฟล์ ransomware จะกำหนดเป้าหมายไปยังไฟล์ที่เชื่อมโยงกับ VMware ESXI Virtual Machines รวมไปถึง log files, swap files, virtual disks, และ memory files ที่มีนามสกุลดังนี้
.log
.vmdk
.vmem
.vswp
.vmsn
และจะผนวกไฟล์นามสกุล .crypt658 กับไฟล์ที่โดนเข้ารหัส
หลังจากเข้ารหัสแล้ว ransomware จะสร้างโน้ตที่ชื่อ How_To_Restore ซึ่งมีคำอธิบายข้อมูลที่ถูกขโมย และลิงก์ไปยังไซต์ชำระเงินค่าไถ่บน TOR Browser
หากเหยื่อไม่จ่ายค่าไถ่ แฮ็กเกอร์จะเผยแพร่ข้อมูลที่ถูกขโมยในลงบนเว็บไซต์ที่ทุกคนสามารถเข้าไปดาวน์โหลดได้

ปัจจุบัน เว็บไซต์ของ Redalert ที่เผยแพร่ข้อมูลเป้าหมาย มีข้อมูลเพียงองค์กรเดียวเท่านั้น ซึ่งระบุว่าเป็นกลุ่มที่ใหม่มาก แต่ก็เป็นพฤติกรรมที่จะต้องจับตาดูอย่างใกล้ชิด เนื่องจากฟังก์ชั่นที่ซับซ้อนของการ Encrypt ไฟล์ และรองรับทั้ง Linux และ Windows

ที่มา : bleepingcomputer