เมนู

พบ RedAlert Ransomware มุ่งโจมตี Windows และ Linux VMware ESXi servers

RedAlert copy

พบ Ransomware ตัวใหม่ RedAlert มุ่งโจมตี Windows server และ Linux VMware ESXi servers

11 กรกฎาคม 2565

📢 กลุ่ม MalwareHunterTeam ค้นพบ Ransomware ตัวใหม่ชื่อว่า RedAlert หรือ N13V ที่มุ่งโจมตีรวมถึงเข้ารหัส Windows และ Linux VMware ESXi servers ในองค์กรต่างๆ
 
🧑‍✈️ Linux encryptor ถูกสร้างเพื่อเป้าหมายในการโจมตี VMware ESXi servers โดยใช้งาน Command-Line ทำให้ผู้โจมตีสามารถพิมพ์คำสั่งเพื่อปิดการทำงานต่างๆของ VM (virtual machines) ก่อนที่จะทำการเข้ารหัสไฟล์
 
 
 

รายการคำสั่งที่ใช้ต่างๆ ดังนี้


-w      เป็นการรันคำสั่งเพื่อหยุดการทำงานทั้งหมดของ VM (virtual machines)

-p      Path to encrypt (โดยค่าเริ่มต้นจะทำการ encrypt ไฟล์ทั้งหมดที่เฉพาะอยู่ใน directory จะไม่รวมไฟล์ที่อยู่ใน subdirectories)

-f       File for encrypt (ไฟล์สำหรับเข้ารหัส)

-r        เป็นการเรียกใช้ซ้ำอีกครั้ง แต่จะใช้กับคำสั่ง -p (Path to encrypt) การค้นหา และ encrypt ที่ใช้งานอยู่ใน subdirectories

-t       ตรวจสอบเวลาการเข้ารหัส (สำหรับการเข้ารหัสเท่านั้นโดยไม่มีการใช้ Key)

-n      ค้นหาไฟล์ที่ไม่ได้เข้ารหัส (แสดง ffiles และโฟลเดอร์ข้อมูลบางส่วน)

-x      ทดสอบประสิทธิภาพในการเข้ารหัส และทดสอบ DEBUG

-h      แสดงข้อความ message

 

ลักษณะการทำงาน

⏱ เมื่อแรนซัมแวร์ทำการรัน command ด้วย ‘-w ‘ การทำงานของ VM (virtual machines) ทั้งหมดจะถูกหยุดการทำงานลง และใช้คำสั่ง ESXCLI ดังต่อไปนี้

esxcli –formatter=csv –format-param=fields==”WorldID,DisplayName” vm process list | tail -n +2 | awk -F $’,’ ‘{system(“esxcli vm process kill –type=force –world-id=” $1)}’

เมื่อถึงเวลาที่จะทำการเข้ารหัสแรนซัมแวร์จะใช้อัลกอริธึมในการเข้ารหัส NTRUEncrypt ซึ่งเป็นคีย์สาธารณะที่รับรองในการใช้งานในส่วนของ Parameter sets ที่มีความปลอดภัยที่แตกต่างกัน แต่ในการดำเนินการต่างๆ จะมีแค่อัลกอริทึม FiveHands เท่านั้นที่รู้วิธีการเข้ารหัสนี้

 

 

🕵️‍♀️ เมื่อเข้ารหัสไฟล์แรนซัมแวร์ จะกำหนดเป้าหมายที่เกี่ยวข้องและมีความเชื่อมโยงกับ VMware EXSi (VM) ซึ่งรวมไปถึงไฟล์นามสกุลต่างๆ (.log) log files, (.vswp) swap files, (.vmdk) virtual disks, (.vmem) memory files และ (.vmsn)  ทำการผนวกไฟล์ .crypt [number] เข้ากับชื่อไฟล์ที่เข้ารหัส
 
 
 
💥 ในแต่ละโฟลเดอร์แรนซัมแวร์จะทำการสร้างโน้ตที่ใช้ชื่อว่า HOW_TO_RESTORE ซึ่งมีรายละเอียดของข้อมูลที่ถูกขโมย และลิงก์ที่มีการเชื่อมต่อไปยังการชำระเงินของ TOR ransom
 
 
 

ในการชำระเงินให้กับ TOR ก็เหมือนกับการชำระเงินให้กับค่ายอื่นๆในเรื่องของการเจรจาต่อรองเรื่องของค่าไถ่ แต่สำหรับ RedAlert/N13V จะรับชำระเงินเป็นสกุลเงิน cryptocurrency (Monero) เท่านั้น

 

 

👨‍⚖️ ซึ่งในปัจจุบันพบการรั่วไหลของข้อมูล RedAlert แค่เพียงองค์กรเดียว ซึ่งแสดงให้เห็นว่ายังเป็นเรื่องที่ใหม่ในการดำเนินงานของแรนซัมแวร์ N13V/RedAlert แต่ยังเป็นเรื่องที่ต้องคอยเฝ้าระวังและจับตาดู เนื่องจากฟังก์ชั่นการทำงานต่างๆรองรับการใช้งานสำหรับ Linux และ Windows
 

อ้างอิง1: bleepingcomputer