RedAlert มัลแวร์เรียกค่าไถ่มุ่งเป้าโจมตี Windows และ Linux บน Vmware ESXi Server

ผู้เชี่ยวชาญจาก MalwareHunter ออกแถลงเตือนผ่าน Twitter หลังพบข้อมูลจากองค์กรแห่งหนึ่งหลุดบนเว็บไซต์ของกลุ่มแฮกเกอร์ ที่ออกมาโพนทะนา ถึงความสำเร็จจากการโจมตีองค์กรดังกล่าวด้วยมัลแวร์เรียกค่าไถ่ที่มีนามว่า 'RedAlert' หรือ 'N13V'  โดยมีการกำหนดเป้าหมายเพื่อมุ่งโจมตีที่ เซิร์ฟเวอร์ VMWare ESXi ขององค์กร ทั้งบนระบบปฏิบัติการ Windows และ Linux ซึ่งคาดว่าอาจมีเหยื่อเพิ่มอีกในอนาคต

คำสั่ง command-line ของมัลแวร์เรียกค่าไถ่ RedAlert หรือ N13V

จากตัวเข้ารหัส Linux encryptor ที่ค้นพบโดย BleepingComputer ทราบว่าคำสั่ง Command-Line ต่าง ๆ ที่คุณเห็นจากภาพข้างต้นมีความสามารถทำให้ผู้โจมตี ทำการสั่งปิดระบบ Virtual Machines บนเซิร์ฟเวอร์ VMware ESXi ของเหยื่อ ก่อนเข้ารหัสไฟล์ได้

โดยเริ่มจากค่าตัวแปร '-w' ที่ใช้สั่งหยุดการทำงานของระบบ Virtual Machines ด้วยคำสั่ง ESXCLI ต่อไปนี้ 

esxcli --formatter=csv --format-param=fields=="WorldID,DisplayName" vm process list | tail -n +2 | awk -F $',' '{system("esxcli vm process kill --type=force --world-id=" $1)}'

และตามด้วยค่าอื่น ๆ ที่จะทำการล็อคไฟล์ต่าง ๆ ที่เกี่ยวกับ Virtual Machines ซึ่งในการเข้ารหัสไฟล์ของ 'RedAlert' ได้ใช้การเข้ารหัสแบบอัลกอริทึม NTRUEncrypt ซึ่งรองรับ Parameter Sets ในระดับความปลอดภัยที่แตกต่างกันได้ โดยรูปแบบอัลกอริทึมดังกล่าว ที่รู้จักมีเพียง Ransomware ตัวเดียวที่เคยใช้งานมาก่อนคือ 'FiveHands'

ภาพจาก https://www.bleepingcomputer.com/news/security/new-redalert-ransomware-targets-windows-linux-vmware-esxi-servers/?&web_view=true

และเมื่อเข้ารหัสไฟล์ 'RedAlert' ยังสามารถกำหนดเป้าหมายเชื่อมโยงกับไฟล์ระบบ VMware ESXi ได้ด้วย รวมไปถึง log files, swap files, virtual disks และ memory files ตามรายการด้านล่าง

• .log
• .vmdk
• .vmem
• .vswp
• .vmsn

ภาพจาก https://www.bleepingcomputer.com/news/security/new-redalert-ransomware-targets-windows-linux-vmware-esxi-servers/?&web_view=true

BleepingComputer ระบุว่าหลังจากไฟล์ถูกเข้ารหัสแล้ว 'RedAlert' จะทำการผนวกนามสกุล ".crypt [ตัวเลข]" เข้ากับไฟล์ที่ถูกเข้ารหัส พร้อมกับสร้างโน้ตชื่อ How_To_Restore ที่จะมี คำอธิบายของข้อมูลที่ถูกขโมยและลิงก์ไปเว็บไซต์ใน TOR Network สำหรับการชำระเงินค่าไถ่เพื่อปลดล็อคไฟล์

คำอธิบายสำหรับการเรียกค่าไถ่

และเว็บไซต์สำหรับการชำระเงินในระบบ TOR Network นี้ก็เป็นเว็บไซต์เดียวกับที่ Ransomware อื่น ๆ ใช้งานเหมือนกัน อย่างไรก็ตามสำหรับ RedAlert จะยอมรับเฉพาะสกุลเงินดิจิทัล Monero (XMR) เท่านั้น ซึ่งจะไม่ได้มีการซื้อขายแลกเปลี่ยนในตลาดคริปโตทั่วไป เพราะมันคือเหรียญนอกระบบที่มุ่งเน้นความเป็นส่วนตัว

แม้จากตัวอย่างจะพบเพียง Linux encryptor และมีเพียงแค่องค์กรเดียวเท่านั้นที่ตกเป็นเหยื่อในปัจจุบัน แต่ในเว็บไซต์ยังมีการกล่าวเชื่อมโยงถึงระบบ Windows ทำให้ทราบว่า RedAlert อาจมีวิธีการสำหรับ Encrypt ไฟล์ ของ Windows ด้วยและเชื่อว่าการโจมตีครั้งต่อไปน่าจะเกิดขึ้นในไม่ช้า ทำให้หลายองค์กรจำเป็นต้องเฝ้าระวังอย่างเข้มงวด