Uma variante Linux do ransomware Play tem como alvo ambientes VMWare EXSi. Ela criptografa arquivos de máquinas virtuais e anexa a extensão “.PLAY”, utilizando técnicas de ofuscação para “bypassar” detecções. Além disso, vem junto com uma variante do Windows em um arquivo .RAR.
Esta variante utiliza técnicas similares à da versão Windows, com base na presença de ferramentas comuns associadas ao ransomware Play no servidor de comando e controle, o que sugere que o grupo por trás do ransomware está expandindo seus ataques para ambiente Linux e aumentando potencialmente o impacto de suas operações.
Fases do ransomware
Na fase iniuial da infecção, o ransomware analisa o ambiente ao procurar por comandos específicos do EXSi (como o vim-cmd e o esxcli) e caso os comandos sejam encontrados, o ransomware “continua seu trabalho”.
Primeiro, desativa todas as máquinas virtuais em execução para evitar acesso ou modificação de dados. Em seguida, define uma mensagem de boas-vindas personalizada no host ESXi, alertando as vítimas sobre o ataque.
O ransomware criptografa arquivos críticos da VM, incluindo discos, arquivos de configuração e arquivos de metadados, deixando-os inacessíveis. Para indicar que o ransomware os infectou, os arquivos criptografados possuem agora a extensão “.PLAY”.
Uma nota de resgate é colocada no diretório raiz do sistema comprometido e também na portal de login do ESXi, bem como também na console, o que garante que a vítima encontre a nota, independente do métodos utilizado para acessar o ESXi comprometido.
Ligação com serviço de encurtamento de urls/domínios
A análise do ataque deste ransomware revelou uma conexão com o Prolific Puma, um ator de ameaça conhecido por oferecer serviços de encurtamento de domínios gerados por um Algoritmo de Geração de Domínio Registrado (RDGA).
O payload (carga útil) do ransomware e outras ferramentas foram hospedadas em um servidor com vários endereços IP, que estavam relacionados com vários domínios RDGA registrados pela Porkbun, LLC e NameCheap, Inc., ofuscando ainda mais o identidade dos invasores.
O Prolific Puma registrou domínios que apontavam para os endereços IPs mantidos pelos criminosos e a mensagem que apareceu nesses domínios corresponde com o que foi visto na infraestrutura da Prolific Puma.
O backdoor de nome Coroxy utilizando pelo ransomware conectou-se a outro endereço IP que também está relacionado à domínios registrados pelo Prolific Puma.
Uma investigação mais aprofundada da Trend Micro revelou que este IP pertencia ao mesmo sistema autônomo (ASN) como outro IP vinculado à Prolific Puma, indicando que eles compartilham o mesmo provedor de rede.
A coincidência na infraestrutura sugere uma possível colaboração entre o ransomware Play e a Prolific Puma, de modo que esta possível “parceria” pode proporcionar ao ransomware uma melhora na sua capacidade de contornar as medidas de segurança.
Créditos:
https://gbhackers.com/play-ransomware-esxi-servers/
Créditos da imagem usada na capa do post:
Olha que da hora essa notícia sobre ransomware:
https://www.canalhacker.com.br/2024/07/16/hardbit-ransomware-ofusca-atividade-para-evitar-deteccao/
Como está se sentindo?
