Akira ransomware เวอร์ชัน Linux กำหนดเป้าหมายไปยัง VMware ESXi เซิร์ฟเวอร์

Akira ransomware เวอร์ชัน Linux ถูกพบครั้งแรกโดยนักวิเคราะห์มัลแวร์จาก rivitna ที่รายงานตัวอย่างของเครื่องมือการเข้ารหัสใหม่ใน VirusTotal เมื่อสัปดาห์ที่ผ่านมา

Akira ถูกพบครั้งแรกในเดือนมีนาคม 2023 โดยมีเป้าหมายเป็นระบบ Windows ในอุตสาหกรรมต่าง ๆ รวมถึงการศึกษา การเงิน อสังหาริมทรัพย์ การผลิต และการให้คำปรึกษา

เช่นเดียวกับกลุ่มแรนซัมแวร์ที่โจมตีองค์กรอื่น ๆ ผู้โจมตีจะขโมยข้อมูลจากเครือข่ายขององค์กรที่ถูกโจมตี และเข้ารหัสไฟล์เพื่อเรียกค่าไถ่ซ้ำกับเหยื่อ โดยเรียกร้องเงินที่สูงถึงหลายล้านดอลลาร์

นับตั้งแต่เปิดตัว มีการเปิดเผยว่ามีเหยื่อมากกว่า 30 รายในสหรัฐอเมริกาเพียงแห่งเดียว โดยมีกิจกรรมที่แตกต่างกันสองรายการที่เพิ่มขึ้นอย่างมากใน ID Ransomware ในช่วงปลายเดือนพฤษภาคม และปัจจุบัน

Akira ตั้งเป้าไปที่ VMware ESXi

Akira เวอร์ชัน Linux ถูกพบครั้งแรกโดยนักวิเคราะห์มัลแวร์ rivitna ซึ่งรายงานตัวอย่างของเครื่องมือการเข้ารหัสใหม่ใน VirusTotal เมื่อสัปดาห์ที่ผ่านมา

การวิเคราะห์ตัวเข้ารหัส Linux ของ BleepingComputer แสดงให้เห็นว่ามีชื่อโปรเจ็กต์เป็น 'Esxi_Build_Esxi6' ซึ่งบ่งบอกว่าผู้โจมตีออกแบบมาเพื่อกำหนดเป้าหมายไปยัง VMware ESXi เซิร์ฟเวอร์โดยเฉพาะ

ตัวอย่างเช่น ไฟล์ซอร์สโค้ดของโปรเจ็กต์ไฟล์หนึ่งคือ /mnt/d/vcprojects/Esxi_Build_Esxi6/argh.

RTM Locker Ransomware เวอร์ชัน Linux มีเป้าหมายโจมตีที่เซิร์ฟเวอร์ VMware ESXi

กลุ่มอาชญากรทางไซเบอร์ RTM (Read The Manual) มีการดำเนินการมาตั้งแต่ปี 2015 โดยการใช้โทรจันเพื่อขโมยเงินจากธนาคารของผู้ที่ตกเป็นเหยื่อ

ในเดือนธันวาคม 2022 MalwareHunterTeam นักวิจัยด้านความปลอดภัยระบุว่า RTM ให้บริการ Ransomware-as-a-Service (RaaS) ซึ่งมีการให้บริการมาแล้วอย่างน้อยห้าเดือน ในขณะนั้นพบเพียงตัวเข้ารหัสแรนซัมแวร์บน Windows เท่านั้น แต่รายงานจาก Uptycs เมื่อวันที่ 26 เมษายน 2023 RTM ได้เปิดตัวบริการ RaaS รูปแบบใหม่ ซึ่งขยายเป้าหมายไปยังเซิร์ฟเวอร์ Linux และ VMware ESXi

ตามรายงานของ Uptycs ตัวเข้ารหัสของ RTM Locker บน Linux ถูกสร้างขึ้นสำหรับการโจมตีระบบ VMware ESXi เนื่องจากมีคำสั่งจำนวนมากที่ใช้ในการจัดการ Virtual Machines

เมื่อเปิดใช้งาน ตัวเข้ารหัสจะพยายามเข้ารหัส VMware ESXi Virtual Machines ทั้งหมดก่อน โดยรวบรวมรายการ VM ที่รันอยู่โดยใช้ Command "esxcli vm process list >> vmlist.

พบตัวเข้ารหัสข้อมูลของ LockBit ransomware ที่มุ่งเป้าหมายไปยัง macOS [EndUser]

MalwareHunterTeam ทีมนักวิจัยด้านความปลอดภัยทางไซเบอร์ พบตัวเข้ารหัสข้อมูลของ LockBit ransomware ที่มุ่งเป้าหมายการโจมตีไปยัง macOS โดยเฉพาะ ซึ่งเป็นครั้งแรกที่พบปฏิบัติการของกลุ่ม Ransomware ที่มุ่งเป้าหมายการโจมตีไปยัง macOS โดยตรง

โดย MalwareHunterTeam พบตัวเข้ารหัสดังกล่าวจากไฟล์ ZIP บน VirusTotal ที่ถูกอัพโหลดขึ้นไปในเดือนธันวาคม 2022 ซึ่งพบว่ามีตัวเข้ารหัสของ LockBit ransomware อยู่ด้วย ซึ่งพบว่ามีตัวเข้ารหัสสำหรับระบบที่ไม่เคยถูกพบมาก่อนเช่น macOS, ARM, FreeBSD, MIPS และ SPARC CPUs (more…)

Royal Ransomware เวอร์ชัน Linux กำหนดเป้าหมายไปยัง VMware ESXi

Royal Ransomware เป็น Ransomware ตัวล่าสุดที่มีความสามารถในการเข้ารหัสข้อมูลบนอุปกรณ์ Linux ได้ โดยมีการกำหนดเป้าหมายไปที่ VMware ESXi โดยเฉพาะ ซึ่ง BleepingComputer เคยได้รายงานเกี่ยวกับการเข้ารหัสจากแรนซัมแวร์บน Linux ที่มีรูปแบบคล้ายกันโดยกลุ่ม Ransomware อื่น ๆ เช่น Black Basta, LockBit, BlackMatter, AvosLocker, REvil, HelloKitty, RansomEXX และ Hive (more…)

พบ ESXiArgs Ransomware ตัวใหม่ ปรากฏขึ้นหลังจาก CISA เปิดตัวเครื่องมือถอดรหัส ESXiArgs

พบ ESXiArgs Ransomware ตัวใหม่ ปรากฏขึ้นหลังจากสำนักงานความมั่นคงปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐ CISA เปิดตัวเครื่องมือถอดรหัสเพื่อกู้คืนข้อมูล สำหรับเหยื่อที่ได้รับผลกระทบจากการโจมตีของ ESXiArgs Ransomware

โดยรายงานจากผู้ดูแลระบบในฟอรัมออนไลน์ พบว่าไฟล์ที่มีขนาดใหญ่กว่า 128MB จะมีการเข้ารหัสข้อมูลแบบ 50% ทำให้กระบวนการกู้คืนมีความลำบากยิ่งขึ้น รวมถึงการลบที่อยู่ Bitcoin ออกจากบันทึกเรียกค่าไถ่ เพื่อให้เหยื่อติดต่อพวกเขาบน Tox แทน เพื่อรับข้อมูลสำหรับการชำระค่าไถ่ เนื่องจากกลุ่ม Hacker รู้ว่าตนเองกำลังถูกติดตามอยู่ รวมถึงวิธีการโจมตีที่ใช้นั้นสามารถป้องกันได้อย่างง่ายดาย จึงได้มีการปรับปรุงรูปแบบการโจมตี (more…)

ESXiArgs ransomware มุ่งเป้าโจมตีไปยัง VMware ESXi servers ทั่วโลก

French Computer Emergency Response Team (CERT-FR) ผู้ดูแลระบบของผู้ให้บริการโฮสติ้ง ได้ออกมาแจ้งเตือนการพบแคมเปญการโจมตีของแรนซัมแวร์ที่มุ่งเป้าการโจมตีไปยัง VMware ESXi server ที่ยังไม่ได้อัปเดตแพตซ์ด้านความปลอดภัย โดยใช้ช่องโหว่ CVE-2021-21974 ทำให้สามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล เพื่อติดตั้งแรนซัมแวร์ลงยังเครื่องเป้าหมายได้

CVE-2021-21974 เป็นช่องโหว่ที่เกิดจาก heap overflow ใน OpenSLP service ทำให้สามารถหลีกเลี่ยงการตรวจสอบสิทธิ และเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล Remote Code Execution (RCE) ซึ่งก่อนหน้านี้มีแพตซ์อัปเดตออกมาแล้วตั้งแต่ 23 กุมภาพันธ์ 2021

ช่องโหว่ CVE-2021-21974 ส่งผลกระทบต่อ ESXi version ดังนี้

ESXi versions x prior to ESXi70U1c-17325551
ESXi versions 7.x prior to ESXi670-202102401-SG
ESXi versions 5.x prior to ESXi650-202102101-SG

รวมถึงจากการค้นหาของ Shodan แหล่งข้อมูลด้านความปลอดภัย พบว่าเซิร์ฟเวอร์ VMware ESXi กว่า 120 เครื่องทั่วโลกอาจถูกโจมตีจากแคมเปญแรนซัมแวร์ตัวนี้แล้ว

การค้นพบ ESXiArgs ransomware

ในระหว่างที่พบแคมเปญแรนซัมแวร์ที่มุ่งเป้าการโจมตีไปยัง VMware ESXi server ทาง BleepingComputer ระบุว่า มีผู้ใช้งานเว็บไซต์ได้ตั้งกระทู้เรื่องของการถูกโจมตีโดย ESXiArgs ransomware ในฟอรัมของ BleepingComputer รวมถึงขอความช่วยเหลือ และข้อมูลเพิ่มเติมเกี่ยวกับวิธีการกู้คืนข้อมูล

จากข้อมูลพบว่า แรนซั่มแวร์จะเข้ารหัสข้อมูลไฟล์ด้วยนามสกุล .vmxf, .vmx, .vmdk, .vmsd และ .nvram บนเซิร์ฟเวอร์ ESXi ที่ถูกโจมตี และสร้างไฟล์ .args สำหรับเอกสารที่เข้ารหัสแต่ละรายการ (ซึ่งอาจเอาไว้ในการถอดรหัส) รวมถึงยังทิ้งบันทึกเรียกค่าไถ่ชื่อ "ransom.

Nevada Ransomware มุ่งเป้าหมายในการโจมตีไปที่ระบบ Windows และ VMware ESXi โดยเฉพาะ

Nevada ransomware ได้โปรโมตตัวเองบนฟอรัม RAMP darknet เมื่อวันที่10 ธันวาคม 2022 ที่ผ่านมา โดยเชิญชวนเหล่าHackersชาวรัสเซียและชาวจีนเข้าใช้งาน เพื่อรับส่วนแบ่ง85%จากค่าไถ่ที่ได้จากเหยื่อ รวมถึงยังให้ส่วนแบ่ง90%กับHackersที่สามารถโจมตี และนำข้อมูลเหยื่อมาเผยแพร่เป็นจำนวนมาก เพื่อเป็นรางวัลจูงใจรวมถึงยังสามารถให้ตรวจสอบการทำงานได้จากทุกที่และแสดงจุดยืนในการไม่ให้บริการแก่Hackersชาวตะวันตก (more…)

Python Malware แอบติดตั้งแบ็คดอร์จากช่องโหว่บน VMware ESXi servers

นักวิจัยจาก Juniper Networks ค้นพบ Python Malware ที่มุ่งเป้าไปยังช่องโหว่บน VMware ESXi servers เพื่อใช้ในการติดตั้งแบ็คดอร์ ซึ่งจะทำให้ Hacker สามารถเข้าถึง หรือรันคำสั่งที่เป็นอันตรายจากระยะไกลบนระบบที่ถูกโจมตีได้

แต่จนถึงปัจจุบันนักวิจัยยังไม่สามารถระบุวิธีการที่แน่ชัดที่ถูกใช้ในการโจมตีได้ เนื่องจากข้อมูล log ที่หลงเหลือหลังจากการโจมตีมีจำกัด แต่คาดการว่าเซิร์ฟเวอร์อาจถูกโจมตีโดยใช้ช่องโหว่ CVE-2019-5544 และ CVE-2020-3992 ใน OpenSLP service ของ ESXi โดย Python Malware ยังสามารถทำงานได้ทั้งบนระบบปฏิบัติการ Linux และ Unix

VMware ESXi คือ แพลตฟอร์ม Virtual Machine (VM) ที่ใช้ทั่วไปในองค์กรเพื่อสร้างเซิร์ฟเวอร์จำลอง (VM) จำนวนมากบนอุปกรณ์เครื่องเดียว โดยใช้ทรัพยากร CPU และหน่วยความจำได้อย่างมีประสิทธิภาพ

การโจมตี

จากข้อมูล log ที่หลงเหลือหลังจากการโจมตี พบว่า Python Malware ได้เพิ่มคำสั่ง 7 บรรทัดใน "/etc/rc.

พบ Ransomware ตัวใหม่บน Linux โดยมีเป้าหมายคือ VMware ESXi

ผู้เชี่ยวชาญจาก Trend Micro ได้ค้นพบแรนซัมแวร์ตัวใหม่ที่ที่มีชื่อว่า Cheers ซึ่งมีเป้าหมายหลัก ๆ คือ VMware ESXi Server ที่เป็นแพลตฟอร์มที่นิยมใช้กันอย่างแพร่หลายทั่วโลก

ระบบสำคัญของหลายองค์กรต่างอยู่ในแพลตฟอร์มนี้ ซึ่งหากโจมตีได้สำเร็จจนทำให้ระบบหยุดทำงาน ก็จะส่งผลต่อการดำเนินธุรกิจรวมไปถึงกระทบต่อชื่อเสียงขององค์กรอีกด้วย

ลักษณะการทำงาน

เมื่อเซิร์ฟเวอร์ VMware ESXi ถูกโจมตีได้สำเร็จ แรนซัมแวร์จะทำการสแกนหาไฟล์ที่มีนามสกุล .log, .vmdk, .vmem, .vswp, และไฟล์ extensions ที่นามสกุล .vmsn
ซึ่งเป็นไฟล์สำคัญของ ESXi ทั้งหมด เช่นไฟล์ Snapshot หรือ log files จากนั้นจะทำการเปลี่ยนนามสกุลไฟเหล่านั้นล์เป็น “.Cheers” แล้วทำการเข้ารหัสไฟล์โดยใช้ SOSEMANUK stream cipher และลบคีย์ในการกู้คืนออก ซึ่งระหว่างแรนซัมแวร์ทำการสแกนโฟลเดอร์เพื่อเข้ารหัส มันก็จะทำการสร้าง Text ไฟล์ที่ชื่อ ‘How To Restore Your Files.

มัลแวร์เรียกค่าไถ่ REvil พัฒนาเครื่องมือเข้ารหัสเวอร์ชั่น Linux เพื่อมุ่งเป้าโจมตี VMware ESXi

กลุ่มอาชญากรผู้อยู่เบื้องหลังมัลแวร์เรียกค่าไถ่ REvil เริ่มมีการใช้งานเครื่องมือเข้ารหัสเวอร์ชั่น Linux โดยพุ่งเป้าโจมตีเครื่องคอมพิวเตอร์แม่ข่ายแบบเสมือนหรือ Virtual Machine (VM) ที่ทำงานอยู่บน VMware ESXi เป็นหลัก ซึ่งเป็นผลมาจากความนิยมในการใช้งาน VM ขององค์กรในยุคปัจจุบันทำให้กลุ่มอาชญากรไซเบอร์เร่งพัฒนาเครื่องมือที่จะใช้ในการโจมตีด้วยการเข้ารหัสข้อมูลของ VM

เมื่อเดือนพฤษภาคมที่ผ่านมา ผู้เชี่ยวชาญด้านข่าวกรองทางไซเบอร์, Yelisey Boguslavskiy โพสต์ข้อมูลผ่านทวิตเตอร์ว่าพบข้อมูลการประกาศบนเว็บบอร์ดแห่งหนึ่งโดยกลุ่มอาชญากรผู้อยู่เบื้องหลังมัลแวร์เรียกค่าไถ่ REvil ทำการยืนยันว่าได้เปิดให้ใช้งานเครื่องมือเข้ารหัสเวอร์ชั่นระบบปฏิบัติการ Linux ซึ่งสามารถใช้โจมตีอุปกรณ์ NAS ได้อีกด้วย

เมื่อวันที่ 28 มิ.ย.64 ที่ผ่านมา กลุ่มนักวิจัยด้านความปลอดภัยทางไซเบอร์จาก MalwareHunterTeam เปิดเผยว่าตรวจพบมัลแวร์เรียกค่าไถ่ REvil เวอร์ชั่น Linux เช่นกัน หรือที่รู้จักกันในชื่อ "Sodinokibi" ซึ่งกำลังพุ่งเป้าโจมตีเครื่องแม่ข่ายที่ใช้งาน VMware ESXI

Vitali Kremez ซึ่งเป็นผู้เชี่ยวชาญด้านข่าวกรองทางไซเบอร์ให้สัมภาษณ์ BleepingComputer หลังจากมีโอกาสได้ทำการวิเคราะห์ไฟล์มัลแวร์พันธ์ุใหม่นี้ว่า มันเป็นไฟล์ ELF ชนิด 64-bit ซึ่งมีการนำรูปแบบการตั้งค่าการใช้งานเหมือนกับไฟล์ Executable ที่พบได้บนระบบปฏิบัติการ Windows และนี่เป็นครั้งแรกที่มีการค้นพบมัลแวร์เรียกค่าไถ่ REvil เวอร์ชั่น Linux ในการโจมตีที่เกิดขึ้นจริงนับตั้งแต่มันถูกเปิดให้ใช้งาน

สำหรับขีดความสามารถของมัลแวร์ชนิดนี้ ผู้โจมตีสามารถกำหนดตำแหน่งของไฟล์ที่ต้องการเข้ารหัสได้ รวมทั้งสามารถเปิดการใช้งาน "Silent Mode" ซึ่งใช้สำหรับป้องกันการปิดการทำงานของ "VMs mode" ดังแสดงตามรายละเอียดในคำแนะนำการใช้งาน (Usage Instructions) ของมัลแวร์ ดังนี้

Usage example: elf.