اخبار
محققان Trend Micro پیشرفت نگرانکنندهای را در زرادخانه باجافزار در حال گسترش کشف کردهاند - یک نوع لینوکس جدید از گروه باجافزار Play که محیطهای ESXi را هدف قرار میدهد.
محققان دانش سایبری گزارش میدهند که این نوع جدید از باجافزار Play، با نام مستعار Balloonfly و PlayCrypt، فقط در محیطهای VMware ESXi رمزگذاری میشود، به این معنی که این گروه ممکن است حملات خود را در سراسر پلتفرم لینوکس گسترش دهد و به طور بالقوه «به یک استخر قربانیان گسترده و موارد دیگر منجر شود. مذاکرات موفقیت آمیز باج." هدف آن به حداکثر رساندن تأثیر حملات، هدف قرار دادن سازمانهایی است که وابستگی زیادی به محیطهای مجازی دارند.
محیطهای ESXi که توسط کسبوکارها برای میزبانی چندین ماشین مجازی، برنامههای کاربردی حیاتی و دادهها استفاده میشود، میتوانند در عملیات مختل شوند، پشتیبانگیریها را رمزگذاری کنند و در صورت به خطر افتادن، قابلیتهای بازیابی اطلاعات را کاهش دهند. با حمله به هاست های ESXi، باج افزار Play به طور بالقوه می تواند کل زیرساخت مجازی یک سازمان را فلج کند.
این گروه برای اولین بار در ژوئن 2022 شناسایی شد و به دلیل تاکتیکهای اخاذی مضاعف، تکنیکهای فرار و تأثیر آن بر سازمانهای آمریکای لاتین مشهور است. از اکتبر 2023، حدود 300 سازمان توسط Play هدف قرار گرفتند و امسال تمرکز بیشتری روی ایالات متحده دارد.
طبق گزارش Trend Micro، نوع جدید لینوکس که به تازگی کشف شده رفتاری مطابق با حملات باج افزار قبلی Play از خود نشان می دهد. نوع لینوکس در یک فایل بایگانی RAR که بر روی یک آدرس IP میزبانی میشود، فشرده میشود که حاوی ابزارهای مورد استفاده در حملات قبلی Play، از جمله PsExec، NetScan، WinSCP، WinRAR، و درب پشتی Coroxy است.
محققان بر این باورند که نوع لینوکس ممکن است از تاکتیکها، تکنیکها و رویههای مشابه (TTP) استفاده کند. نمونه باجافزار قبل از رمزگذاری فایلهای ماشین مجازی، از جمله دیسک VM، پیکربندی و فایلهای ابرداده، و انداختن یادداشت باجگیری در دایرکتوری ریشه، اجرا در یک محیط ESXi را تضمین میکند. تجزیه و تحلیل استفاده از یک اسکریپت پوسته سفارشی برای تحویل و اجرای محموله را نشان داد.
حتی شگفتانگیزتر این است که گروه باجافزار Play از یک مکانیسم الگوریتم تولید دامنه ثبت شده (RDGA) استفاده میکند که به یک عامل تهدید بدنام دیگر - Prolific Puma - مرتبط است. RDGA ها تاکتیکی هستند که توسط بدافزارها برای تولید پویا آدرس های سرور فرمان و کنترل (C2) استفاده می شود و شناسایی و مسدود کردن آنها را سخت تر می کند. استفاده مشترک از سیستم RDGA Prolific Puma سوالاتی را در مورد همکاری احتمالی بین دو گروه ایجاد می کند.
Hackread.com هفته گذشته هنگامی که محققان امنیت سایبری در Infoblox گزارش دادند که یک عامل تهدید ناشناس به نام "Revolver Rabbit" با استفاده از RDGA برای ثبت 500000 .Bond TLD (دامنه های سطح بالا) در مورد سوء استفاده از RDGA هشدار داد.
بنابراین، سازمانها باید بدون توجه به سیستم عامل خود، در برابر حملات باج افزار هوشیار باشند. مراحل کلیدی شامل وصله و بهروزرسانی سریع میزبانهای ESXi، اجرای کنترلهای دسترسی قوی و تقسیمبندی، پشتیبانگیری منظم از دادهها، و سرمایهگذاری در راهحلهای تشخیص و پاسخ نقطه پایانی (EDR) است.
جیسون سوروکو، معاون ارشد تولید در Sectigo در مورد توسعه اخیر اظهار داشت: "به خطر انداختن یک سرور ESXi می تواند منجر به اختلال گسترده شود، زیرا یک حمله می تواند چندین ماشین مجازی را به طور همزمان از کار بیاندازد و بر عملیات و خدمات اصلی تجارت تاثیر بگذارد."
تاکتیکهای اخاذی مضاعف Play، که شامل رمزگذاری و استخراج دادهها میشود، فشار را بر قربانیان برای پرداخت باج افزایش میدهد. جیسون توضیح داد که گنجاندن ابزارهای رایج برای حرکت جانبی و پایداری، قدرت تهدید را برجسته می کند.
