เมนู

Black Basta โจมตี VMware ESXi

2022-06-08 Black Basta (1040)

 

Black Basta เป็นแรนซั่มแวร์ล่าสุดที่สนับสนุนการเข้ารหัสระบบ Virtual Machines (VMs) ด้วยผลิตภัณฑ์ VMware ESXi ซึ่งทำงานบนเซิร์ฟเวอร์ลินุกซ์ในระดับ Enterprise

8 มิถุนายน 2565

🔎 ทั้งนี้ กลุ่มผู้โจมตีด้วยแรนซั่มแวร์ส่วนใหญ่ในปัจจุบันล้วนมุ่งเป้าโจมตีไปยัง ESXi VMs ซึ่งสอดคล้องกับลักษณะองค์กรซึ่งเป็นกลุ่มเป้าหมายในการโจมตี และยังสามารถดำเนินการเข้ารหัสเครื่องแม่ข่ายหลายเครื่องได้โดยใช้เพียงคำสั่งเดียว
 
การเข้ารหัสระบบ VMs เป็นประเด็นที่น่าให้ความสนใจเนื่องจากองค์กรต่างๆ ได้ปรับไปใช้ระบบ Virtual Machine เพื่อความสะดวกในการบริหารจัดการอุปกรณ์ต่างๆ เพื่อให้เกิดประสิทธิภาพสูงสุดในการใช้ทรัพยากรต่างๆ
 
จากรายงานของการวิเคราะห์ภัยคุกคามของ Uptypcs ระบุว่า แรนซั่มแวร์ Black Basta กำลังมุ่งเป้าโจมตีไปยัง VMWare ESXi Servers ทั้งนี้ แรนซั่มแวร์บนแพลตฟอร์มลินุกซ์เป็นประเด็นที่เคยเกิดขึ้นมาก่อนหน้านี้แล้ว เช่น LockBit, HelloKitty, BlackMatter, REvil, AvosLocker, RansomEXX, และ Hive เป็นต้น ทั้งนี้ วิธีการเข้ารหัสของแรนซั่มแวร์บนลินุกซ์ล้วนมีวิธีการที่คล้ายคลึงกัน กล่าวคือ แรนซั่มแวร์ Black Basta จะทำการค้นหาพาธ /vmfs/volumes ซึ่งเป็นตำแหน่งที่เก็บของระบบ Virtual Machines บนเครื่อง ESXi Server ที่ต้องการจะยึดครอง (หากปราศจากโฟลเดอร์ดังกลาวโปรแกรมแรนซั่มแวร์ก็จะสิ้นสุดการทำงานไป)
 
แรนซั่มแวร์ดังกล่าวนี้ใช้อัลกอริทึ่ม ChaCha20 ในการเข้ารหัสแฟ้มข้อมูล โดยอาศัยความสามารถด้าน Multithreading เพื่อควบคุมการทำงานของโปรเซสเซอร์จำนวนมากอันทำให้กระบวนการเข้ารหัสเป็นไปได้อย่างรวดเร็ว โดยระหว่างกระบวนการเข้ารหัส โปรแกรมแรนซั่มแวร์จะได้เพิ่มเติมส่วนขยาย .basta ต่อท้ายแฟ้มข้อมูลที่ได้รับการเข้ารหัสไปแล้ว รวมถึงการสร้างไฟล์ readme.txt ไว้ในทุกตำแหน่งโฟลเดอร์ซึ่งมีข้อความแสดงลิงค์เชื่อมโยงไปยังบริการ Chat พร้อมหมายเลขประจำตัวเฉพาะ (Unique ID) ที่จะสามารถใช้อ้างอิงกับผู้โจมตีได้
 
Black Basta ได้ถูกค้นพบเป็นครั้งแรกนับตั้งแต่สัปดาห์ที่สองของเดือนเมษายน 2565 เป็นต้นมา โดยมีสายพันธุ์ซึ่งมุ่งเป้าโจมตีไปยังวินโดวส์อยู่ด้วย ซึ่งจากหลักฐานซึ่งปรากฏเป็นลิงค์เชื่อมโยงไปยังบริการ Chat รวมถึงส่วนขยายของไฟล์ที่ถูกเปลี่ยนแปลงไปแสดงให้เห็นว่าผู้ที่อยู่เบื้องหลังการโจมตีทั้งระบบ Windows และ Black Basta น่าจะเป็นบุคคลกลุ่มเดียวกัน

แรนซั่มแวร์ Black Basta ถูกนำไปใช้โจมตีองค์กรเป้าหมายทั่วโลกอย่างกว้างขวาง โดยเรียกค่าไถ่ในจำนวนที่แตกต่างกัน เช่น เหยื่อรายหนึ่งถูกเรียกค่าไถ่เป็นเงินจำนวนสูงถึง 2 ล้านเหรียญสหรัฐฯ สำหรับตัวถอดรหัสและการป้องกันมิให้เปิดเผยข้อมูลในโลกออนไลน์

อย่างไรก็ตาม เมื่อไม่ปรากฏข้อมูลเพิ่มเติมเกี่ยวกับผู้โจมตีก็อาจพิจารณาได้ว่าเป็นผู้โจมตีดั่งเดิมที่ปรับรูปแบบของการโจมตีเพื่อให้โจมตีเป้าหมายได้อย่างรวดเร็ว รวมถึงปรับปรุงแนวทางในการเจรจาต่อรองซึ่งคล้ายกับกลุ่มผู้โจมตีด้วยแรนซั่มแวร์ Conti

ทั้งนี้ นอกจาก Black Basta จะเป็นแรนซั่มแวร์บนแพลตฟอร์มลินุกซ์แล้ว ยังมีแรนซั่มแวร์อื่นๆ อีก อาทิ Babuk, RansomExx/Defray, Mespinoza, GoGoogle, Snatch, PureLocker และ DarkSide ซึ่งล้วนมีเป้าหมายโจมตีไปยัง ESXi ทั้งสิ้น

อ้างอิง: https://www.bleepingcomputer.com/news/security/linux-version-of-black-basta-ransomware-targets-vmware-esxi-servers/