Nova versão do Play ransomware Linux mira VMs VMware ESXi

Segundo informações da empresa de segurança cibernética Trend Micro, a nova versão do Play ransomware Linux mira VMs VMware ESXi.

Play ransomware é a mais recente gangue de ransomware a começar a implantar um locker Linux dedicado para criptografar máquinas virtuais VMware ESXi.

Nova versão do Play ransomware Linux mira VMs VMware ESXi

Nova versão do Play ransomware Linux mira VMs VMware ESXi

A empresa de segurança cibernética Trend Micro, cujos analistas detectaram a nova variante do ransomware, diz que o locker foi projetado para primeiro verificar se está sendo executado em um ambiente ESXi antes de ser executado e se pode evitar a detecção em sistemas Linux.

“Esta é a primeira vez que observamos o ransomware Play direcionado a ambientes ESXi”, disse a Trend Micro.

“Este desenvolvimento sugere que o grupo pode estar ampliando seus ataques em toda a plataforma Linux, levando a um grupo maior de vítimas e a negociações de resgate mais bem-sucedidas”.

Esta tem sido uma tendência conhecida há anos, com a maioria dos grupos de ransomware mudando o foco para máquinas virtuais ESXi depois que as empresas passaram a usá-las para armazenamento de dados e hospedagem de aplicativos críticos devido ao seu manuseio de recursos muito mais eficiente.

A desativação das VMs ESXi de uma organização levará a grandes interrupções e interrupções nas operações de negócios, enquanto a criptografia de arquivos e backups reduz drasticamente as opções das vítimas para recuperar os dados afetados.

Nova versão do Play ransomware Linux mira VMs VMware ESXi – Fluxo de ataque do Play ransomware Linux (Trend Micro)

Ao investigar esta amostra de ransomware do Play, a Trend Micro também descobriu que a gangue de ransomware usa os serviços de encurtamento de URL fornecidos por um agente de ameaça rastreado como Prolific Puma.

Após o lançamento bem-sucedido, as amostras do Play ransomware Linux verificarão e desligarão todas as VMs encontradas no ambiente comprometido e começarão a criptografar arquivos (por exemplo, disco da VM, configuração e arquivos de metadados), adicionando a extensão .PLAY no final de cada arquivo.

Para desligar todas as máquinas virtuais VMware ESXi em execução para que possam ser criptografadas, a Trend Micro diz que o criptografador executará o seguinte código:
/bin/sh -c "for vmid in $(vim-cmd vmsvc/getallvms | grep -v Vmid | awk '{print $1}'); do vim-cmd vmsvc/power.off $vmid; done"

Esta variante foi projetada para atingir especificamente o VMFS (Virtual Machine File System), que é usado pelo conjunto de virtualização de servidores vSphere da VMware.

Ele também deixará uma nota de resgate no diretório raiz da VM, que será exibida no portal de login do cliente ESXi (e no console após a reinicialização da VM).

Nova versão do Play ransomware Linux mira VMs VMware ESXi – Nota de resgate do console do Play ransomware Linux (Trend Micro)

O Play ransomware surgiu em junho de 2022. Os seus operadores são conhecidos por roubar documentos confidenciais de dispositivos comprometidos, que utilizam em ataques de dupla extorsão para pressionar as vítimas a pagarem resgate sob a ameaça de vazarem os dados roubados online.

Vítimas de ransomware Play de alto perfil incluem a empresa de computação em nuvem Rackspace, a cidade de Oakland, na Califórnia, a gigante varejista de automóveis Arnold Clark, a cidade belga de Antuérpia e o condado de Dallas.

Em dezembro, o FBI alertou, num comunicado conjunto com a CISA e o Australian Cyber ​​Security Centre (ACSC), que a gangue de ransomware havia violado aproximadamente 300 organizações em todo o mundo até outubro de 2023.

As três agências governamentais aconselharam os defensores a ativar a autenticação multifator sempre que possível, manter backups offline, implementar um plano de recuperação e manter todos os softwares atualizados.

Sair da versão mobile