คนร้ายแรนซัมแวร์ผู้ใช้ช่องโหว่ ESXi อัปเดตเวอร์ชันใหม่ ตอกกลับสคิร์ปต์กู้คืน VM

เป็นความพยายามระลอกที่สองของคนร้ายเบื้องหลังการพุ่งเป้าโจมตี ESXi Server จากช่องโหว่ที่ไม่ได้รับการแพตช์ โดยครั้งนี้เพิ่มโค้ดให้หนาแน่นเพื่อแก้ไขวิธีการกู้คืน VM ที่เคยอาศัยความผิดพลาดทางลอจิกของการโจมตีระลอกแรกเมื่อสัปดาห์ที่ผ่านมา

เมื่อช่วงสุดสัปดาห์ก่อนมีการแจ้งเตือนว่าพบแคมเปญการโจมตีเซิร์ฟเวอร์ ESXi เพื่อปล่อยแรนซัมแวร์กับเหยื่อที่ยังไม่ได้แพตช์ช่องโหว่ RCE หมายเลข CVE-2021-21974 โดยเป็น Heap Overflow ในบริการ OpenSLP ทั้งนี้ส่งผลกระทบกับผู้ใช้งาน VMware Esxi ในเวอร์ชัน 7.x ก่อน ESXi70U1c-17325551, Esxi เวอร์ชัน 6.7.x ก่อน ESXi670-202102401-SG และ Esxi เวอร์ชัน 6.5.x ก่อน ESXi650-202102101-SG แน่นอนว่าการแก้ไขเป็นเรื่องของการอัปเดตแพตช์ ซึ่งมาพร้อมกับคำแนะนำอีกส่วนคือให้ปิดบริการ OpenSLP ที่ชี้ว่ากลายเป็นค่าที่ปิดโดยพื้นฐานตั้งแต่ปี 2021 แต่ประเด็นจนกระทั่งตอนนี้ที่ยังน่ากังวลคือมีเหยื่อหลายรายชี้ว่าตนไม่ได้เปิดบริการ OpenSLP ด้วยซ้ำแล้วคนร้ายมายังไง?

กลไกการทำงานของแรนซัมแวร์ที่ใช้นามสกุลไฟล์ .args ก็คือสคิร์ปต์ encrypt.sh เป้าหมายคือไฟล์ .vmxf, .vmx, .vmdk, .vmsd และ .nvram สุดท้ายคือการทิ้งโน๊ตพร้อมบัญชีบิตคอยน์ ทำลาย Log แก้ไขเนื้อหาบางส่วนในหลายไฟล์ ลบ Backdoor และนี่คือการโจมตีระลอกแรก

เคราะห์ดีที่เหยื่อคราวแรกอาจรอดมาได้จากกลไกการเลือกเข้ารหัสที่ไม่สมบูรณ์แบบเนื่องจากภายในลอจิกหลงเหลือข้อมูลส่วนที่ไม่เข้ารหัสไว้เยอะเกินไป จนกระทั่งเป็นสาเหตุให้ผู้เชี่ยวชาญคิดค้นวิธีการสร้าง VM ขึ้นใหม่จาก metadeta บน vDisk ได้ ทำให้คนร้ายอาจต้องผิดหวังที่เหยื่อหลายรายหลุดพ้นได้ ต่อมา CISA ยังทำให้การแก้ไขง่ายขึ้นอีกด้วยสคิร์ปต์ช่วยเหลือที่ใช้ง่ายกว่าเดิม (https://github.com/cisagov/ESXiArgs-Recover/blob/main/recover.sh

ล่าสุดคนร้ายได้อัปเดตวิธีการเข้ารหัสไฟล์แล้วให้มีการเข้ารหัสเนื้อหามากขึ้น ซึ่งไม่สามารถกู้คืนด้วยวิธีการเดิมอีกต่อไป และเคราะห์กรรมก็ตกอยู่กับเหยื่อระลอกใหม่นั่นเอง ทั้งนี้แคมเปญการโจมตีในวันแรกของการปฏิบัติการมีเครื่องเซิร์ฟเวอร์ถูกเข้ารหัสไปกว่า 120 เครื่องและเมื่อจบสัปดาห์เหยื่อพุ่งสูงถึง 2,400 เครื่องและจากเลขอัปเดตท้ายสุดคือมากกว่า 3,000 เครื่อง ดังนั้นแอดมินทั้งหลายควรเช็คการอัปเดตของตนกันด้วยนะครับ

ที่มา : https://www.bleepingcomputer.com/news/security/massive-esxiargs-ransomware-attack-targets-vmware-esxi-servers-worldwide/ และ https://www.bleepingcomputer.com/news/security/cisa-releases-recovery-script-for-esxiargs-ransomware-victims/ และ https://www.bleepingcomputer.com/news/security/new-esxiargs-ransomware-version-prevents-vmware-esxi-recovery/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Tenable จับมือ Anthropic เข้าร่วม “Project Glasswing” ยกระดับการป้องกันไซเบอร์ในยุค AI [Guest Post]

การเข้าร่วม Project Glasswing และการได้ร่วมทำงานกับ Claude Mythos Preview ในครั้งนี้ จะช่วยให้ Tenable สามารถสนับสนุนลูกค้าให้เข้าใจพฤติกรรมของโมเดล AI ระดับแนวหน้า (Frontier AI) …

Amazon เตรียมปลดระวาง Mechanical Turk ไม่รับผู้ใช้งานเพิ่มแล้ว

Amazon Web Services (AWS) ได้ยุติการรับลูกค้าใหม่สำหรับบริการที่มีอายุเก่าแก่หลายทศวรรษอย่าง Mechanical Turk เป็นที่เรียบร้อยแล้ว ซึ่งนับเป็นสัญญาณเตือนถึงจุดสิ้นสุดของแพลตฟอร์มตลาดแรงงานแบบคราวด์ซอร์สรุ่นบุกเบิกนี้