CERTMIL

Centrul de Răspuns la Incidente de Securitate Cibernetică

Ransomware-ul Play vizează sistemele VMware ESXi

23 iulie 2024

Sursa: https://thehackernews.com

Specialiștii în securitate cibernetică au descoperit o nouă variantă pentru Linux a unui ransomware cunoscut sub numele de Play (sau Balloonfly și PlayCrypt) și vizează sistemele Vmware ESXi.

„Această evoluție sugerează faptul că grupul ar putea să își extindă atacurile pe platforma Linux, ceea ce ar duce la un număr mai mare de victime și la negocieri reușite privind răscumpărarea”, au afirmat cercetătorii Trend Micro.

Analiza Trend Micro a unei variante Linux a Play provine dintr-o arhivă RAR găzduită la adresa IP (108.61.142.190), care conține, de asemenea, alte instrumente utilizate în atacuri anterioare, cum ar fi PsExec, NetScan, WinSCP, WinRAR și backdoor-ul Coroxy.

La execuție, ransomware-ul se asigură că rulează într-un mediu ESXi înainte de a începe să cripteze fișierele mașinii virtuale (VM), inclusiv fișierele de disc, de configurare și metadate ale VM, și să le adauge extensia .PLAY.

Analizele ulterioare au stabilit că grupul ransomware Play utilizează probabil serviciile și infrastructura comercializate de Prolific Puma, care oferă un serviciu ilicit de scurtare a url-urilor pentru a ajuta alți atacatori să evite detectarea în timp ce distribuie programe malware.

Mai exact, acesta utilizează un algoritm de generare a domeniilor înregistrate (RDGA) pentru a crea noi nume de domenii, un mecanism utilizat din ce în ce mai des de mai mulți atacatori, inclusiv VexTrio Viper și Revolver Rabbit, pentru phishing, spam și distribuirea de malware.

RDGA-urile sunt mult mai dificil de detectat și de apărat decât DGA-urile tradiționale datorită faptului că permit atacatorilor să genereze multe nume de domenii pentru a le înregistra în vederea utilizării – fie toate odată, fie în timp – în infrastructura lor.

„Mediile ESXi sunt ținte importante pentru atacurile ransomware datorită rolului lor critic în operațiunile de afaceri”, a concluzionat Trend Micro. „Eficiența criptării simultane a numeroase VM-uri și datele valoroase pe care le dețin cresc și mai mult profitabilitatea acestora pentru infractorii cibernetici.”

Sursă: https://thehackernews.com/2024/07/new-linux-variant-of-play-ransomware.html

Ai mai putea citi

Firefox 148 lansat cu API Sanitizer pentru a dezactiva atacurile XSS

27 februarie 2026

Vulnerabilitate critică identificată în Juniper Networks PTX

27 februarie 2026

Trend Micro avertizează asupra unor vulnerabilități în Apex One

27 februarie 2026

PoC lansat pentru o vulnerabilitate din Windows

26 februarie 2026
© Ministerul Apărării Naţionale | Site realizat de Agenția de Apărare Cibernetică |