คนร้ายแรนซัมแวร์ผู้ใช้ช่องโหว่ ESXi อัปเดตเวอร์ชันใหม่ ตอกกลับสคิร์ปต์กู้คืน VM

เป็นความพยายามระลอกที่สองของคนร้ายเบื้องหลังการพุ่งเป้าโจมตี ESXi Server จากช่องโหว่ที่ไม่ได้รับการแพตช์ โดยครั้งนี้เพิ่มโค้ดให้หนาแน่นเพื่อแก้ไขวิธีการกู้คืน VM ที่เคยอาศัยความผิดพลาดทางลอจิกของการโจมตีระลอกแรกเมื่อสัปดาห์ที่ผ่านมา

เมื่อช่วงสุดสัปดาห์ก่อนมีการแจ้งเตือนว่าพบแคมเปญการโจมตีเซิร์ฟเวอร์ ESXi เพื่อปล่อยแรนซัมแวร์กับเหยื่อที่ยังไม่ได้แพตช์ช่องโหว่ RCE หมายเลข CVE-2021-21974 โดยเป็น Heap Overflow ในบริการ OpenSLP ทั้งนี้ส่งผลกระทบกับผู้ใช้งาน VMware Esxi ในเวอร์ชัน 7.x ก่อน ESXi70U1c-17325551, Esxi เวอร์ชัน 6.7.x ก่อน ESXi670-202102401-SG และ Esxi เวอร์ชัน 6.5.x ก่อน ESXi650-202102101-SG แน่นอนว่าการแก้ไขเป็นเรื่องของการอัปเดตแพตช์ ซึ่งมาพร้อมกับคำแนะนำอีกส่วนคือให้ปิดบริการ OpenSLP ที่ชี้ว่ากลายเป็นค่าที่ปิดโดยพื้นฐานตั้งแต่ปี 2021 แต่ประเด็นจนกระทั่งตอนนี้ที่ยังน่ากังวลคือมีเหยื่อหลายรายชี้ว่าตนไม่ได้เปิดบริการ OpenSLP ด้วยซ้ำแล้วคนร้ายมายังไง?

กลไกการทำงานของแรนซัมแวร์ที่ใช้นามสกุลไฟล์ .args ก็คือสคิร์ปต์ encrypt.sh เป้าหมายคือไฟล์ .vmxf, .vmx, .vmdk, .vmsd และ .nvram สุดท้ายคือการทิ้งโน๊ตพร้อมบัญชีบิตคอยน์ ทำลาย Log แก้ไขเนื้อหาบางส่วนในหลายไฟล์ ลบ Backdoor และนี่คือการโจมตีระลอกแรก

เคราะห์ดีที่เหยื่อคราวแรกอาจรอดมาได้จากกลไกการเลือกเข้ารหัสที่ไม่สมบูรณ์แบบเนื่องจากภายในลอจิกหลงเหลือข้อมูลส่วนที่ไม่เข้ารหัสไว้เยอะเกินไป จนกระทั่งเป็นสาเหตุให้ผู้เชี่ยวชาญคิดค้นวิธีการสร้าง VM ขึ้นใหม่จาก metadeta บน vDisk ได้ ทำให้คนร้ายอาจต้องผิดหวังที่เหยื่อหลายรายหลุดพ้นได้ ต่อมา CISA ยังทำให้การแก้ไขง่ายขึ้นอีกด้วยสคิร์ปต์ช่วยเหลือที่ใช้ง่ายกว่าเดิม (https://github.com/cisagov/ESXiArgs-Recover/blob/main/recover.sh) 

ล่าสุดคนร้ายได้อัปเดตวิธีการเข้ารหัสไฟล์แล้วให้มีการเข้ารหัสเนื้อหามากขึ้น ซึ่งไม่สามารถกู้คืนด้วยวิธีการเดิมอีกต่อไป และเคราะห์กรรมก็ตกอยู่กับเหยื่อระลอกใหม่นั่นเอง ทั้งนี้แคมเปญการโจมตีในวันแรกของการปฏิบัติการมีเครื่องเซิร์ฟเวอร์ถูกเข้ารหัสไปกว่า 120 เครื่องและเมื่อจบสัปดาห์เหยื่อพุ่งสูงถึง 2,400 เครื่องและจากเลขอัปเดตท้ายสุดคือมากกว่า 3,000 เครื่อง ดังนั้นแอดมินทั้งหลายควรเช็คการอัปเดตของตนกันด้วยนะครับ

ที่มา : https://www.bleepingcomputer.com/news/security/massive-esxiargs-ransomware-attack-targets-vmware-esxi-servers-worldwide/ และ https://www.bleepingcomputer.com/news/security/cisa-releases-recovery-script-for-esxiargs-ransomware-victims/ และ https://www.bleepingcomputer.com/news/security/new-esxiargs-ransomware-version-prevents-vmware-esxi-recovery/