محققان Trend Micro پیشرفت نگران‌کننده‌ای را در زرادخانه باج‌افزار در حال گسترش کشف کرده‌اند - یک نوع لینوکس جدید از گروه باج‌افزار Play که محیط‌های ESXi را هدف قرار می‌دهد.

محققان دانش سایبری گزارش می‌دهند که این نوع جدید از باج‌افزار Play، با نام مستعار Balloonfly و PlayCrypt، فقط در محیط‌های VMware ESXi رمزگذاری می‌شود، به این معنی که این گروه ممکن است حملات خود را در سراسر پلتفرم لینوکس گسترش دهد و به طور بالقوه «به یک استخر قربانیان گسترده و موارد دیگر منجر شود. مذاکرات موفقیت آمیز باج." هدف آن به حداکثر رساندن تأثیر حملات، هدف قرار دادن سازمان‌هایی است که وابستگی زیادی به محیط‌های مجازی دارند.

محیط‌های ESXi که توسط کسب‌وکارها برای میزبانی چندین ماشین مجازی، برنامه‌های کاربردی حیاتی و داده‌ها استفاده می‌شود، می‌توانند در عملیات مختل شوند، پشتیبان‌گیری‌ها را رمزگذاری کنند و در صورت به خطر افتادن، قابلیت‌های بازیابی اطلاعات را کاهش دهند. با حمله به هاست های ESXi، باج افزار Play به طور بالقوه می تواند کل زیرساخت مجازی یک سازمان را فلج کند.

این گروه برای اولین بار در ژوئن 2022 شناسایی شد و به دلیل تاکتیک‌های اخاذی مضاعف، تکنیک‌های فرار و تأثیر آن بر سازمان‌های آمریکای لاتین مشهور است. از اکتبر 2023، حدود 300 سازمان توسط Play هدف قرار گرفتند و امسال تمرکز بیشتری روی ایالات متحده دارد.

طبق گزارش Trend Micro، نوع جدید لینوکس که به تازگی کشف شده رفتاری مطابق با حملات باج افزار قبلی Play از خود نشان می دهد. نوع لینوکس در یک فایل بایگانی RAR که بر روی یک آدرس IP میزبانی می‌شود، فشرده می‌شود که حاوی ابزارهای مورد استفاده در حملات قبلی Play، از جمله PsExec، NetScan، WinSCP، WinRAR، و درب پشتی Coroxy است.
محققان بر این باورند که نوع لینوکس ممکن است از تاکتیک‌ها، تکنیک‌ها و رویه‌های مشابه (TTP) استفاده کند. نمونه باج‌افزار قبل از رمزگذاری فایل‌های ماشین مجازی، از جمله دیسک VM، پیکربندی و فایل‌های ابرداده، و انداختن یادداشت باج‌گیری در دایرکتوری ریشه، اجرا در یک محیط ESXi را تضمین می‌کند. تجزیه و تحلیل استفاده از یک اسکریپت پوسته سفارشی برای تحویل و اجرای محموله را نشان داد.

حتی شگفت‌انگیزتر این است که گروه باج‌افزار Play از یک مکانیسم الگوریتم تولید دامنه ثبت شده (RDGA) استفاده می‌کند که به یک عامل تهدید بدنام دیگر - Prolific Puma - مرتبط است. RDGA ها تاکتیکی هستند که توسط بدافزارها برای تولید پویا آدرس های سرور فرمان و کنترل (C2) استفاده می شود و شناسایی و مسدود کردن آنها را سخت تر می کند. استفاده مشترک از سیستم RDGA Prolific Puma سوالاتی را در مورد همکاری احتمالی بین دو گروه ایجاد می کند.

Hackread.com هفته گذشته هنگامی که محققان امنیت سایبری در Infoblox گزارش دادند که یک عامل تهدید ناشناس به نام "Revolver Rabbit" با استفاده از RDGA برای ثبت 500000 .Bond TLD (دامنه های سطح بالا) در مورد سوء استفاده از RDGA هشدار داد.

بنابراین، سازمان‌ها باید بدون توجه به سیستم عامل خود، در برابر حملات باج افزار هوشیار باشند. مراحل کلیدی شامل وصله و به‌روزرسانی سریع میزبان‌های ESXi، اجرای کنترل‌های دسترسی قوی و تقسیم‌بندی، پشتیبان‌گیری منظم از داده‌ها، و سرمایه‌گذاری در راه‌حل‌های تشخیص و پاسخ نقطه پایانی (EDR) است.

جیسون سوروکو، معاون ارشد تولید در Sectigo در مورد توسعه اخیر اظهار داشت: "به خطر انداختن یک سرور ESXi می تواند منجر به اختلال گسترده شود، زیرا یک حمله می تواند چندین ماشین مجازی را به طور همزمان از کار بیاندازد و بر عملیات و خدمات اصلی تجارت تاثیر بگذارد."

تاکتیک‌های اخاذی مضاعف Play، که شامل رمزگذاری و استخراج داده‌ها می‌شود، فشار را بر قربانیان برای پرداخت باج افزایش می‌دهد. جیسون توضیح داد که گنجاندن ابزارهای رایج برای حرکت جانبی و پایداری، قدرت تهدید را برجسته می کند.