O Play ransomware é a mais recente quadrilha de ransomware a começar a implantar um bloqueador dedicado para Linux, projetado para criptografar máquinas virtuais VMware ESXi.
A empresa de cibersegurança Trend Micro, cujos analistas identificaram a nova variante de ransomware, afirma que o bloqueador é projetado para primeiro verificar se está operando em um ambiente ESXi antes de executar e que pode evitar a detecção em sistemas Linux.
"Esta é a primeira vez que observamos o Play ransomware visando ambientes ESXi", disse a Trend Micro.
Esse desenvolvimento sugere que o grupo pode estar ampliando seus ataques na plataforma Linux, levando a uma pool de vítimas expandida e negociações de resgate mais bem-sucedidas.
Isso tem sido uma tendência conhecida há anos, com a maioria dos grupos de ransomware mudando o foco para máquinas virtuais ESXi depois que as empresas começaram a usá-las para armazenamento de dados e hospedagem de aplicações críticas devido ao seu manuseio de recursos muito mais eficiente.
Desativar as VMs ESXi de uma organização levará a grandes interrupções nas operações comerciais e a paralisações, enquanto criptografar arquivos e backups reduz drasticamente as opções das vítimas para recuperar os dados afetados.
Ao investigar essa amostra de Play ransomware, a Trend Micro também descobriu que a quadrilha de ransomware usa os serviços de encurtamento de URL fornecidos por um ator de ameaça rastreado como Prolific Puma.
Após o lançamento bem-sucedido, as amostras do Play ransomware para Linux escanearão e desligarão todas as VMs encontradas no ambiente comprometido e começarão a criptografar arquivos (por exemplo, disco de VM, configuração e arquivos de metadados), adicionando a extensão .PLAY ao final de cada arquivo.
Para desligar todas as máquinas virtuais VMware ESXi em execução para que possam ser criptografadas, a Trend Micro diz que o criptografador executará o seguinte código:
Esta variante é projetada para alvejar especificamente o VMFS (Sistema de Arquivos de Máquina Virtual), que é usado pela suíte de virtualização de servidor vSphere da VMware.
Ele também deixará uma nota de resgate no diretório raiz da VM, que será exibida no portal de login do cliente ESXi (e no console após a VM ser reiniciada).
Seus operadores são conhecidos por roubar documentos sensíveis de dispositivos comprometidos, que usam em ataques de dupla extorsão para pressionar as vítimas a pagar o resgate sob a ameaça de vazar os dados roubados online.
Entre as vítimas de alto perfil do Play ransomware estão a empresa de computação em nuvem Rackspace, a cidade de Oakland na Califórnia, o gigante varejista de carros Arnold Clark, a cidade belga de Antuérpia e o condado de Dallas.
Em dezembro, o FBI alertou em um comunicado conjunto com o CISA e o Centro Australiano de Segurança Cibernética (ACSC) que a quadrilha de ransomware havia violado aproximadamente 300 organizações em todo o mundo até outubro de 2023.
As três agências governamentais aconselharam os defensores a ativar a autenticação multifatorial sempre que possível, manter backups offline, implementar um plano de recuperação e manter todo o software atualizado.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...