Royal Ransomware เป็น Ransomware
ที่มีความสามารถในการเข้ารหัสข้อมูลบนอุปกรณ์ Linux ได้
โดยมีเป้าหมายโจมตีไปที่ VMware ESXi โดยเฉพาะ ซึ่ง BleepingComputer เคยได้รายงานเกี่ยวกับการเข้ารหัสจาก
Ransomware Linux ที่มีรูปแบบคล้ายกันโดยกลุ่ม Ransomware อื่นๆ เช่น BlackTasta, LockBit, BlackMatter, AvosLocker, REvil, HelloKitty, RansomEXX เป็นต้น โดยมีการดำเนินการโดยใช้ Command line
Command ที่สามารถทำให้ Ransomware ตัวนี้สามารถเข้ารหัส
Stopvm >
หยุด
VM ที่กำลังใช้งานอยู่ทั้งหมด เพื่อเข้ารหัส
Vmonly - เข้ารหัส
Fork – ยังไม่มีข้อมูล
Logs – ยังไม่มีข้อมูล
Id : ต้องมีการใช้จำนวนตัวอักษรที่มีความยาว
32 ตัว
Royal Ransomware
- Royal
Ransomware เป็นกลุ่มผู้โจมตีที่มีความผู้เชี่ยวชาญ
ซึ่งก่อนหน้านี้เคยทำงานร่วมกับปฏิบัติการของ Conti ransomware โดย
Royal Ransomware ได้มีปฏิบัติการ
การโจมตีอย่างต่อเนื่องมาหลายเดือนก่อนที่จะถูกพบเป็นครั้งแรกเมื่อเดือนมกราคม 2565
- ที่ผ่านมากลุ่ม
Royal ได้มีการนำตัวเข้ารหัสของกลุ่ม Ransomware
กลุ่มอื่น ๆ มาใช้ เช่น BlackCat Ransomware แต่ปัจจุบันได้เปลี่ยนมาใช้วิธีการดำเนินการของตัวเอง
ซึ่งเป็นการเรียกค่าไถ่ที่คล้ายกับที่ถูกสร้างโดยกลุ่ม Conti Ransomware
- กลุ่มนี้ได้มีการเปลี่ยนชื่อเป็น "Royal" และเริ่มใช้ตัวเข้ารหัสใหม่ในการโจมตี โดยหลังที่จากที่เข้าถึงระบบเครือข่ายขององค์กรที่ตกเป็นเป้าหมายแล้ว จะมีการเรียกค่าไถ่ ตั้งแต่ 250,000 ดอลลาร์ไปจนถึง 10 ล้านดอลลาร์
ในเดือนธันวาคม กระทรวงสาธารณสุข และบริการประชาชนของสหรัฐฯ (HHS) แจ้งเตือนถึงการโจมตีจาก Royal ransomware ที่กำหนดเป้าหมายเป็นองค์กรในภาคการดูแลสุขภาพ และสาธารณสุข (HPH)
กลุ่มแรนซัมแวร์ส่วนใหญ่กำลังมุ่งเป้าหมายไปที่ Linux
การเปลี่ยนแปลงของกลุ่มแรนซัมแวร์ที่มีการกำหนดเป้าหมายเป็น ESXi นั้น เป็นเพราะว่าองค์กรต่าง ๆ หันมาใช้ virtual machines เนื่องจากทำให้สามารถปรับปรุง และจัดการทรัพยากรได้มีประสิทธิภาพมากขึ้น
โดยหลังจากการติดตั้งเพย์โหลดบนโฮสต์ของ ESXi ได้แล้ว ตัวเข้ารหัสจะใช้เพียงคำสั่งเดียวในการเข้ารหัสเซิร์ฟเวอร์พร้อมกันหลาย ๆ เครื่อง โดยจากรายงานของ Lansweeper พบว่าเซิร์ฟเวอร์ VMware ESXi หลายหมื่นตัวที่สามารถเข้าถึงได้บนอินเทอร์เน็ตเป็นเวอร์ชันที่ไม่มีแพตซ์อัปเดตแล้วในปัจจุบัน (end-of-life)
Ref : https://www.bleepingcomputer.com/
ไม่มีความคิดเห็น:
แสดงความคิดเห็น