ความฉลาดทางข้อมูลเชิงกำเนิด

Cyber Security

Global Agenda Ransomware Wave มุ่งเป้าไปที่เซิร์ฟเวอร์ VMware ESXi

พิมพ์ซ้ำโดยเพลโต
พิมพ์ซ้ำโดยเพลโต

วันที่:

Views: 0

กลุ่มมัลแวร์เรียกค่าไถ่ Agenda เพิ่มจำนวนการติดเชื้อทั่วโลก ต้องขอบคุณแรนซัมแวร์ที่เน้นเครื่องเสมือนรูปแบบใหม่ที่ได้รับการปรับปรุง

Agenda (หรือที่รู้จักในชื่อ Qilin และ Water Galura) ถูกค้นพบครั้งแรกในปี 2022 โดยแรนซั่มแวร์ที่ใช้ Golang ตัวแรกนั้นถูกนำมาใช้กับเป้าหมายที่ไม่เลือกปฏิบัติ: ในการดูแลสุขภาพ การผลิต และการศึกษา ตั้งแต่แคนาดาไปจนถึงโคลอมเบียและอินโดนีเซีย

ในช่วงปลายปี 2022 เจ้าของ Agenda ได้เขียนมัลแวร์ใหม่ สนิมเป็นภาษาที่มีประโยชน์ สำหรับผู้เขียนมัลแวร์ที่ต้องการเผยแพร่งานของตนไปยังระบบปฏิบัติการ ด้วยเวอร์ชัน Rust ทำให้ Agenda สามารถประนีประนอมองค์กรต่างๆ ในด้านการเงิน กฎหมาย การก่อสร้าง และอื่นๆ โดยส่วนใหญ่ในสหรัฐอเมริกา แต่ยังรวมถึงในอาร์เจนตินา ออสเตรเลีย ไทย และที่อื่นๆ ด้วย

เมื่อเร็วๆ นี้ Trend Micro ก็ได้ระบุตัวตน แรนซัมแวร์ Agenda รูปแบบใหม่ ในป่า. เวอร์ชันที่ใช้ Rust ล่าสุดนี้มาพร้อมกับฟังก์ชันการทำงานใหม่ๆ และกลไกการลักลอบที่หลากหลาย และกำหนดมุมมองที่ชัดเจนบนเซิร์ฟเวอร์ VMware vCenter และ ESXi

“การโจมตีด้วยแรนซัมแวร์ต่อเซิร์ฟเวอร์ ESXi นั้นมีแนวโน้มเพิ่มขึ้น” Stephen Hilt นักวิจัยภัยคุกคามอาวุโสของ Trend Micro กล่าว “พวกมันเป็นเป้าหมายที่น่าสนใจสำหรับการโจมตีด้วยแรนซัมแวร์ เนื่องจากพวกมันมักจะโฮสต์ระบบและแอพพลิเคชั่นที่สำคัญ และผลกระทบของการโจมตีที่ประสบความสำเร็จอาจมีนัยสำคัญ”

แรนซัมแวร์วาระใหม่

การติดเชื้อในวาระการประชุมเริ่มเพิ่มขึ้นในเดือนธันวาคม ตามข้อมูลของ Trend Micro อาจเป็นเพราะกลุ่มมีความกระตือรือร้นมากขึ้นในขณะนี้ หรืออาจเป็นเพราะพวกเขามีประสิทธิภาพมากขึ้น

การติดไวรัสเริ่มต้นขึ้นเมื่อมีการส่งไบนารีของแรนซัมแวร์ผ่าน Cobalt Strike หรือเครื่องมือตรวจสอบและจัดการระยะไกล (RMM) สคริปต์ PowerShell ที่ฝังอยู่ในไบนารีทำให้แรนซัมแวร์สามารถเผยแพร่ผ่านเซิร์ฟเวอร์ vCenter และ ESXi

เมื่อแพร่กระจายอย่างเหมาะสม มัลแวร์จะเปลี่ยนรหัสผ่านรูทบนโฮสต์ ESXi ทั้งหมด ดังนั้นจึงล็อคเจ้าของออก จากนั้นใช้ Secure Shell (SSH) เพื่ออัปโหลดเพย์โหลดที่เป็นอันตราย

มัลแวร์ Agenda ใหม่ที่ทรงพลังยิ่งกว่านี้ใช้ฟังก์ชันการทำงานเหมือนกับรุ่นก่อนๆ ทั้งหมด เช่น การสแกนหรือยกเว้นพาธของไฟล์บางพาธ การแพร่กระจายไปยังเครื่องระยะไกลผ่าน PsExec การหมดเวลาอย่างแม่นยำเมื่อมีการดำเนินการเพย์โหลด และอื่นๆ แต่ยังเพิ่มคำสั่งใหม่จำนวนหนึ่งสำหรับการเพิ่มสิทธิ์ การเลียนแบบโทเค็น การปิดใช้งานคลัสเตอร์เครื่องเสมือน และอื่นๆ อีกมากมาย

คุณลักษณะใหม่เล็กๆ น้อยๆ แต่มีผลกระทบทางจิตใจช่วยให้แฮกเกอร์สามารถพิมพ์บันทึกเรียกค่าไถ่ของตนได้ แทนที่จะนำเสนอบนหน้าจอที่ติดไวรัสเท่านั้น

ผู้โจมตีดำเนินการคำสั่งต่าง ๆ เหล่านี้อย่างแข็งขันผ่านเชลล์ ทำให้พวกเขาสามารถดำเนินการพฤติกรรมที่เป็นอันตรายโดยไม่ทิ้งไฟล์ใด ๆ ไว้เป็นหลักฐาน

เพื่อเพิ่มประสิทธิภาพในการซ่อนตัว Agenda ยังยืมมาจากแนวโน้มยอดนิยมในหมู่ผู้โจมตีแรนซัมแวร์เมื่อเร็ว ๆ นี้ — นำคนขับที่มีช่องโหว่มาเอง (BYOVD) — การใช้ไดรเวอร์ SYS ที่มีช่องโหว่เพื่อหลบเลี่ยงซอฟต์แวร์ความปลอดภัย

ความเสี่ยงจากแรนซัมแวร์

Ransomware ซึ่งครั้งหนึ่งเคยเป็นเอกสิทธิ์ของ Windows ได้แพร่กระจายไปทั่ว ลินุกซ์ และ VWware และแม้กระทั่ง MacOSต้องขอบคุณข้อมูลที่ละเอียดอ่อนที่บริษัทต่างๆ เก็บเอาไว้ในสภาพแวดล้อมเหล่านี้

“องค์กรต่างๆ จัดเก็บข้อมูลที่หลากหลายบนเซิร์ฟเวอร์ ESXi รวมถึงข้อมูลที่ละเอียดอ่อน เช่น ข้อมูลลูกค้า บันทึกทางการเงิน และทรัพย์สินทางปัญญา นอกจากนี้ยังอาจจัดเก็บข้อมูลสำรองของระบบและแอปพลิเคชันที่สำคัญบนเซิร์ฟเวอร์ ESXi” Hilt อธิบาย ผู้โจมตีแรนซัมแวร์จะตกเป็นเหยื่อของข้อมูลที่ละเอียดอ่อนประเภทนี้ โดยที่ผู้คุกคามรายอื่นอาจใช้ระบบเดียวกันนี้เป็น Launchpad สำหรับการโจมตีเครือข่ายเพิ่มเติม

ในรายงาน Trend Micro แนะนำให้องค์กรที่มีความเสี่ยงคอยจับตาดูสิทธิพิเศษของผู้ดูแลระบบ อัปเดตผลิตภัณฑ์รักษาความปลอดภัยเป็นประจำ ทำการสแกนและสำรองข้อมูล ให้ความรู้แก่พนักงานเกี่ยวกับวิศวกรรมสังคม และฝึกฝนสุขอนามัยทางไซเบอร์อย่างขยันขันแข็ง

“การผลักดันเพื่อลดต้นทุนและคงอยู่ในองค์กรจะทำให้องค์กรต่างๆ ทำเวอร์ชวลไลซ์และใช้ระบบอย่าง ESXi เพื่อเวอร์ช่วลไลซ์ระบบ” Hilt กล่าวเสริม ดังนั้นความเสี่ยงของการโจมตีทางไซเบอร์เวอร์ช่วลไลเซชั่นจึงมีแนวโน้มว่าจะเพิ่มมากขึ้นเท่านั้น

จุด_img

ข่าวกรองล่าสุด

จุด_img

ลิขสิทธิ์ @ 2024 Plato Technologies Inc.

แชทกับเรา

สวัสดี! ฉันจะช่วยคุณได้อย่างไร?