Un nou tip de ransomware Play vizează acum sistemele VMware ESXi care rulează pe Linux. Acesta extinde aria de atac a grupului de hackeri și crește numărul de victime potențiale. Play se folosește de tehnici de santaj dublu, criptând datele și cerând recompensă pentru decriptare.
TLDR
- Un nou ransomware Play vizează sistemele VMware ESXi pe Linux.
- Play folosește tehnici de santaj dublu.
- Grupul de hackeri folosește infrastructura Prolific Puma pentru a se sustrage detectării.
- ESXi sunt ținte valoroase pentru atacuri ransomware.
Ce este ransomware-ul Play?
Ransomware-ul Play, cunoscut și sub numele de Balloonfly sau PlayCrypt, este un tip de malware care criptează datele victimelor și cere o recompensă pentru decriptare. Acesta a apărut în iunie 2022 și este renumit pentru tacticile de santaj dublu: exfiltrarea datelor sensibile și criptarea acestora.
Extinderea atacurilor pe Linux
Recent, cercetătorii de la Trend Micro au descoperit o variantă a ransomware-ului Play care vizează mediile VMware ESXi, care rulează pe Linux. Acest lucru sugerează că grupul de hackeri își extinde aria de atacuri, crescând astfel numărul de victime potențiale și succesul negocierilor pentru răscumpărare.
Cum funcționează atacul
Atacul începe cu identificarea unui mediu ESXi, după care malware-ul criptează fișierele mașinilor virtuale (VM), inclusiv discurile virtuale, fișierele de configurare și metadatele, adăugând extensia “.PLAY”. În directorul rădăcină este lăsată o notă de răscumpărare, care solicită plata pentru decriptarea fișierelor.
Infrastructura utilizată de hackeri
Grupul Play se folosește de infrastructura Prolific Puma pentru a evita detectarea. Prolific Puma oferă servicii de scurtare a link-urilor, utilizate de hackeri pentru a distribui malware fără a fi detectați. Aceasta include utilizarea unui algoritm de generare de domenii înregistrate (RDGA), care permite crearea de noi nume de domenii pentru atacuri de phishing, spam și propagarea malware-ului.
De ce sunt vizate mediile ESXi?
Mediile VMware ESXi sunt ținte valoroase pentru atacurile de ransomware datorită rolului lor crucial în operațiunile de business. Criptarea mai multor mașini virtuale simultan și valoarea datelor stocate fac din acestea o țintă atractivă pentru infractorii cibernetici.
Concluzie
Atacurile ransomware sunt în continuă evoluție, iar extinderea tacticilor de către grupul Play pe platforma Linux reprezintă o amenințare serioasă pentru companii. Este esențial ca organizațiile să își consolideze măsurile de securitate pentru a se proteja împotriva acestor atacuri sofisticate.
Sursa articolului:
https://thehackernews.com/2024/07/new-linux-variant-of-play-ransomware.html