Una nuova variante Linux di un ceppo di ransomware Play (noto anche come Balloonfly e PlayCrypt), sta prendendo di mira gli ambienti VMware ESXi. Come riportato da un report dei ricercatori di Trend Micro, “Questo sviluppo suggerisce che il gruppo potrebbe estendere i suoi attacchi all’intera piattaforma Linux, ampliando il bacino di vittime e ottenendo maggiori risultati nelle trattative di riscatto“. Play, scoperto giugno 2022, è noto per le sue tattiche di doppia estorsione. Dopo aver esfiltrato dati sensibili, il ransomware crittografa i sistemi e poi chiede il pagamento in cambio di una chiave di decrittazione. Secondo le stime rilasciate da Australia e Stati Uniti, fino a ottobre 2023 circa 300 organizzazioni sono state vittime del gruppo ransomware. Le statistiche condivise da Trend Micro per i primi sette mesi del 2024 mostrano che gli USA sono il paese più colpito, seguito da Canada, Germania, Regno Unito e Paesi Bassi.
Il ransomware Play ha colpito diversi settori, come produzione, servizi professionali, edilizia, IT, vendita al dettaglio, servizi finanziari, trasporti, media, servizi legali e immobiliare. L’analisi della società di sicurezza informatica di una variante Linux di Play proviene da un file RAR ospitato su un indirizzo IP (108.61.142[.]190). Questo contiene anche altri strumenti identificati come utilizzati in attacchi precedenti come PsExec, NetScan, WinSCP, WinRAR e la backdoor Coroxy. Come osservato da Trend Micro: “sebbene non sia stata osservata alcuna vera infezione, il server di comando e controllo (C&C) ospita gli strumenti comuni che Play ransomware attualmente utilizza nei suoi attacchi. Ciò potrebbe indicare che la variante Linux potrebbe utilizzare tattiche, tecniche e procedure simili (TTP).”
Ransomware Play: come avviene l’attacco ai sistemi VMware ESXi
L’esempio del ransomware, al momento dell’esecuzione, garantisce che sia in esecuzione in un ambiente ESXi prima di procedere alla crittografia dei file della macchina virtuale (VM). Ciò include il disco VM, la configurazione e i file di metadati, e di aggiungerli con l’estensione “PLAY“. Una richiesta di riscatto viene quindi rilasciata nella directory principale. Ulteriori analisi hanno stabilito che il gruppo ransomware Play probabilmente utilizza i servizi e l’infrastruttura distribuiti da Prolific Puma. Quest’ultimo offre un servizio illecito di short link ad altri criminali informatici per aiutarli a eludere il rilevamento durante la distribuzione di malware.
Nello specifico, gli hacker utilizzano quello che viene chiamato algoritmo di generazione di domini registrati (RDGA) per creare nuovi nomi di dominio. Si tratta un meccanismo programmatico utilizzato da diversi autori di minacce, tra cui VexTrio Viper e Revolver Rabbit per la propagazione di phishing, spam e malware. Gli RDGA sono molto più difficili da individuare e da cui difendersi rispetto ai DGA tradizionali. Questi consentono infatti agli autori delle minacce di generare molti nomi di dominio per registrarli per l’uso nella loro infrastruttura criminale.
Gli ultimi risultati indicano una potenziale collaborazione tra due entità criminali informatiche. Ciò suggerisce che gli autori del ransomware Play stanno adottando misure per aggirare i protocolli di sicurezza attraverso i servizi di Prolific Puma. Come ricorda infine Trend Micro: “gli ambienti ESXi sono obiettivi di alto valore per gli attacchi ransomware a causa del loro ruolo critico nelle operazioni aziendali. L’efficienza della crittografia simultanea di numerose VM e i dati preziosi in loro possesso aumentano ulteriormente la loro redditività per i criminali informatici“.