Pesquisadores de cibersegurança descobriram uma nova variante Linux de uma cepa de ransomware conhecida como Play (também chamada de Balloonfly e PlayCrypt), que tem como alvo ambientes VMware ESXi.
"Este desenvolvimento sugere que o grupo pode estar ampliando seus ataques por toda a plataforma Linux, levando a um aumento no número de vítimas e negociações de resgate mais bem-sucedidas," declararam pesquisadores da Trend Micro em um relatório publicado na sexta-feira(19).
Play, que surgiu em cena em junho de 2022, é conhecido por suas táticas de extorsão dupla, criptografando sistemas depois de exfiltrar dados sensíveis e exigindo pagamento em troca de uma chave de descriptografia.
De acordo com estimativas divulgadas pela Austrália e pelos EUA, até 300 organizações foram vitimizadas pelo grupo de ransomware até outubro de 2023.
Estatísticas compartilhadas pela Trend Micro para os primeiros sete meses de 2024 mostram que os EUA são o país com o maior número de vítimas, seguido por Canadá, Alemanha, Reino Unido e Holanda.
Manufatura, serviços profissionais, construção, TI, varejo, serviços financeiros, transporte, mídia, serviços jurídicos e imobiliário estão entre as principais indústrias afetadas pelo ransomware Play durante o período.
A análise da firma de cibersegurança de uma variante Linux do Play vem de um arquivo RAR hospedado em um endereço IP (108.61.142[.]190), que também contém outras ferramentas identificadas como usadas em ataques anteriores, como PsExec, NetScan, WinSCP, WinRAR e o backdoor Coroxy.
"Embora nenhuma infecção real tenha sido observada, o servidor de comando e controle (C&C) hospeda as ferramentas comuns que o ransomware Play atualmente usa em seus ataques," disseram eles.
Isso pode indicar que a variante Linux possa empregar táticas, técnicas e procedimentos (TTPs) similares.
A amostra do ransomware, ao ser executada, verifica se está em um ambiente ESXi antes de proceder à criptografia de arquivos de máquina virtual (VM), incluindo arquivos de disco, configuração e metadados da VM, anexando a extensão ".PLAY." Uma nota de resgate é então deixada no diretório raiz.
Análises adicionais determinaram que o grupo de ransomware Play provavelmente está usando os serviços e infraestrutura oferecidos pelo Prolific Puma, que oferece um serviço ilícito de encurtamento de links para outros cibercriminosos ajudando-os a evitar detecção enquanto distribuem malware.
Especificamente, emprega o que é chamado de algoritmo de geração de domínio registrado (RDGA) para criar novos nomes de domínio, um mecanismo programático que está sendo cada vez mais utilizado por vários atores de ameaças, incluindo VexTrio Viper e Revolver Rabbit, para phishing, spam e propagação de malware.
Revolver Rabbit, por exemplo, acredita-se que registrou mais de 500.000 domínios no domínio de topo (TLD) ".bond" a um custo aproximado de mais de US$ 1 milhão, utilizandos-os como servidores C2 ativos e iscas para o malware XLoader (também conhecido como FormBook).
"O padrão RDGA mais comum que este ator usa é uma série de uma ou mais palavras do dicionário seguidas por um número de cinco dígitos, com cada palavra ou número separado por um traço," observou a Infoblox em uma análise recente.
"Às vezes, o ator usa códigos de países ISO 3166-1, nomes completos de países ou números correspondentes a anos em vez de palavras do dicionário." Os RDGAs são muito mais desafiadores de detectar e defender do que os DGAs tradicionais devido ao fato de que permitem que os atores de ameaças gerem muitos nomes de domínio para registrá-los para uso – seja de uma só vez ou ao longo do tempo – em sua infraestrutura criminosa.
"Em um RDGA, o algoritmo é um segredo mantido pelo ator de ameaça, e eles registram todos os nomes de domínio," disse a Infoblox.
Em um DGA tradicional, o malware contém um algoritmo que pode ser descoberto, e a maioria dos nomes de domínio não será registrada.
Enquanto DGAs são usados exclusivamente para conexão com um controlador de malware, RDGAs são usados para uma ampla gama de atividades maliciosas.
As últimas descobertas indicam uma colaboração potencial entre duas entidades criminosas cibernéticas, sugerindo que os atores do ransomware Play estão tomando medidas para contornar protocolos de segurança através dos serviços do Prolific Puma.
"Ambientes ESXi são alvos de alto valor para ataques de ransomware devido ao seu papel crítico nas operações de negócios," concluiu a Trend Micro.
A eficiência de criptografar numerosas VMs ao mesmo tempo e os dados valiosos que elas contêm elevam ainda mais sua lucratividade para cibercriminosos.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...