Black Hat Asia 2023

คนร้ายแรนซัมแวร์ผู้ใช้ช่องโหว่ ESXi อัปเดตเวอร์ชันใหม่ ตอกกลับสคิร์ปต์กู้คืน VM

เป็นความพยายามระลอกที่สองของคนร้ายเบื้องหลังการพุ่งเป้าโจมตี ESXi Server จากช่องโหว่ที่ไม่ได้รับการแพตช์ โดยครั้งนี้เพิ่มโค้ดให้หนาแน่นเพื่อแก้ไขวิธีการกู้คืน VM ที่เคยอาศัยความผิดพลาดทางลอจิกของการโจมตีระลอกแรกเมื่อสัปดาห์ที่ผ่านมา

เมื่อช่วงสุดสัปดาห์ก่อนมีการแจ้งเตือนว่าพบแคมเปญการโจมตีเซิร์ฟเวอร์ ESXi เพื่อปล่อยแรนซัมแวร์กับเหยื่อที่ยังไม่ได้แพตช์ช่องโหว่ RCE หมายเลข CVE-2021-21974 โดยเป็น Heap Overflow ในบริการ OpenSLP ทั้งนี้ส่งผลกระทบกับผู้ใช้งาน VMware Esxi ในเวอร์ชัน 7.x ก่อน ESXi70U1c-17325551, Esxi เวอร์ชัน 6.7.x ก่อน ESXi670-202102401-SG และ Esxi เวอร์ชัน 6.5.x ก่อน ESXi650-202102101-SG แน่นอนว่าการแก้ไขเป็นเรื่องของการอัปเดตแพตช์ ซึ่งมาพร้อมกับคำแนะนำอีกส่วนคือให้ปิดบริการ OpenSLP ที่ชี้ว่ากลายเป็นค่าที่ปิดโดยพื้นฐานตั้งแต่ปี 2021 แต่ประเด็นจนกระทั่งตอนนี้ที่ยังน่ากังวลคือมีเหยื่อหลายรายชี้ว่าตนไม่ได้เปิดบริการ OpenSLP ด้วยซ้ำแล้วคนร้ายมายังไง?

กลไกการทำงานของแรนซัมแวร์ที่ใช้นามสกุลไฟล์ .args ก็คือสคิร์ปต์ encrypt.sh เป้าหมายคือไฟล์ .vmxf, .vmx, .vmdk, .vmsd และ .nvram สุดท้ายคือการทิ้งโน๊ตพร้อมบัญชีบิตคอยน์ ทำลาย Log แก้ไขเนื้อหาบางส่วนในหลายไฟล์ ลบ Backdoor และนี่คือการโจมตีระลอกแรก

เคราะห์ดีที่เหยื่อคราวแรกอาจรอดมาได้จากกลไกการเลือกเข้ารหัสที่ไม่สมบูรณ์แบบเนื่องจากภายในลอจิกหลงเหลือข้อมูลส่วนที่ไม่เข้ารหัสไว้เยอะเกินไป จนกระทั่งเป็นสาเหตุให้ผู้เชี่ยวชาญคิดค้นวิธีการสร้าง VM ขึ้นใหม่จาก metadeta บน vDisk ได้ ทำให้คนร้ายอาจต้องผิดหวังที่เหยื่อหลายรายหลุดพ้นได้ ต่อมา CISA ยังทำให้การแก้ไขง่ายขึ้นอีกด้วยสคิร์ปต์ช่วยเหลือที่ใช้ง่ายกว่าเดิม (https://github.com/cisagov/ESXiArgs-Recover/blob/main/recover.sh

ล่าสุดคนร้ายได้อัปเดตวิธีการเข้ารหัสไฟล์แล้วให้มีการเข้ารหัสเนื้อหามากขึ้น ซึ่งไม่สามารถกู้คืนด้วยวิธีการเดิมอีกต่อไป และเคราะห์กรรมก็ตกอยู่กับเหยื่อระลอกใหม่นั่นเอง ทั้งนี้แคมเปญการโจมตีในวันแรกของการปฏิบัติการมีเครื่องเซิร์ฟเวอร์ถูกเข้ารหัสไปกว่า 120 เครื่องและเมื่อจบสัปดาห์เหยื่อพุ่งสูงถึง 2,400 เครื่องและจากเลขอัปเดตท้ายสุดคือมากกว่า 3,000 เครื่อง ดังนั้นแอดมินทั้งหลายควรเช็คการอัปเดตของตนกันด้วยนะครับ

ที่มา : https://www.bleepingcomputer.com/news/security/massive-esxiargs-ransomware-attack-targets-vmware-esxi-servers-worldwide/ และ https://www.bleepingcomputer.com/news/security/cisa-releases-recovery-script-for-esxiargs-ransomware-victims/ และ https://www.bleepingcomputer.com/news/security/new-esxiargs-ransomware-version-prevents-vmware-esxi-recovery/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Microsoft เปิดตัว Copilot AI สำหรับ Microsoft 365

Microsoft ได้ประกาศเปิดตัวผู้ช่วย Copilot AI ใหม่สำหรับ Microsoft 365 Apps รองรับการสร้าง Document, Presentation และ Spreadsheet รวมถึงการตอบอีเมล์

Dell เปิดตัว Managed Detection and Response Pro Plus บริการป้องกันการโจมตีทางไซเบอร์แบบครบวงจร

Dell เปิดตัว Managed Detection and Response Pro Plus บริการป้องกันการโจมตีทางไซเบอร์แบบครบวงจร