Helldown ransomware โจมตีระบบ VMware ESXi และ Zyxel Firewalls ด้วยการขโมยข้อมูล ปิดการสำรองข้อมูล และเรียกค่าไถ่ ปกป้องระบบของคุณวันนี้
Helldown ransomware สายพันธุ์ใหม่กำลังสร้างความเสียหายอย่างรุนแรงต่อ VMware ESXi และ Zyxel Firewalls ซึ่งมีรายงานว่าโจมตีองค์กรกว่า 31 แห่ง ในอุตสาหกรรมต่าง ๆ เช่น การขนส่ง การผลิต การดูแลสุขภาพ โทรคมนาคม และ IT ตั้งแต่การปรากฏตัวครั้งแรกในเดือนสิงหาคม 2024
รายละเอียดสำคัญ
เป้าหมายหลัก:
VMware ESXi Systems: โจมตีช่องโหว่ในระบบ Linux
Zyxel Firewalls: ใช้ช่องโหว่ที่ยังไม่เปิดเผย (ปัจจุบันมีการแก้ไขแล้ว) เพื่อขโมยข้อมูลและเข้าถึงระบบ
เทคนิคการโจมตี:
สร้างบัญชีผู้ใช้ปลอมและ VPN Tunnel ใน Zyxel Firewalls
ใช้เครื่องมือ เช่น TeamViewer, RDP, PowerShell, และ Mimikatz ในการโจมตี
ปิดระบบตรวจจับด้วย HRSword
การขโมยข้อมูลและผลกระทบ:
Helldown ขโมยข้อมูลปริมาณมาก เฉลี่ย 70GB ถึง 431GB ต่อการโจมตี ซึ่งรวมถึงเอกสารทางการเงินและไฟล์สำคัญ
ขู่เรียกค่าไถ่ด้วยการเปิดเผยข้อมูลหากไม่จ่ายเงิน
ลบข้อมูลสำรองและทำลายเครื่องมือการโจมตีเพื่อป้องกันการกู้คืน
คำแนะนำเพื่อการป้องกัน
อัปเดตแพตช์และซอฟต์แวร์:
ติดตั้งแพตช์ล่าสุดสำหรับ VMware ESXi และ Zyxel Firewalls
เพิ่มการตรวจสอบเครือข่าย:
ตรวจสอบพฤติกรรมที่ผิดปกติในเครือข่ายโดยเฉพาะอุปกรณ์ Edge
ลดความเสี่ยง:
ปิดการใช้งาน RDP และ TeamViewer หากไม่จำเป็น
ใช้โซลูชัน EDR เพื่อเพิ่มความปลอดภัย
สำรองข้อมูลอย่างปลอดภัย:
เก็บข้อมูลสำรองไว้นอกเครือข่ายและทดสอบการกู้คืนข้อมูลเป็นประจำ
Helldown ransomware เป็นภัยคุกคามร้ายแรงสำหรับองค์กรที่ใช้ VMware และ Zyxel การดำเนินการป้องกันโดยทันทีมีความสำคัญอย่างยิ่ง
ดูข้อมูลเพิ่มเติมได้ที่ DarkReading Advisory
Greenwill Solution พร้อมให้บริการด้านความปลอดภัยครบวงจร ติดต่อเราเพื่อรับคำปรึกษาและปกป้องระบบของคุณได้ทันที
Comments