近日,網(wǎng)絡(luò)安全公司趨勢(shì)科技的分析師發(fā)現(xiàn)了Play勒索軟件的最新Linux版本變種,專(zhuān)門(mén)用于加密 VMware ESXi 虛擬機(jī)。
研究人員稱(chēng)這是首次觀察到 Play 勒索軟件以 ESXi 環(huán)境為攻擊目標(biāo)。這表明,該勒索組織可能正在擴(kuò)大其在 Linux 平臺(tái)上的攻擊范圍,從而擴(kuò)大受害者總數(shù),使得他們的贖金談判更加成功。
由于 ESXi 虛擬機(jī)的資源處理效率更高,在企業(yè)轉(zhuǎn)而使用 ESXi 虛擬機(jī)進(jìn)行數(shù)據(jù)存儲(chǔ)和托管關(guān)鍵應(yīng)用程序后,大多數(shù)勒索軟件組織都將重點(diǎn)轉(zhuǎn)向了 ESXi 虛擬機(jī)。
所以一旦企業(yè)的 ESXi 虛擬機(jī)被破壞將導(dǎo)致重大業(yè)務(wù)運(yùn)營(yíng)中斷,而加密文件和備份則會(huì)大大減少受害者恢復(fù)受影響數(shù)據(jù)的選擇。
Play 勒索軟件 Linux 攻擊流程,圖源:趨勢(shì)科技
在調(diào)查 Play 勒索軟件樣本時(shí),趨勢(shì)科技還發(fā)現(xiàn)該勒索軟件團(tuán)伙使用了由名為 Prolific Puma 的威脅行為者提供的 URL 縮短服務(wù)。
成功啟動(dòng)后,Play 勒索軟件 Linux 樣本將掃描并關(guān)閉受攻擊環(huán)境中發(fā)現(xiàn)的所有虛擬機(jī),然后開(kāi)始加密文件(如虛擬機(jī)磁盤(pán)、配置和元數(shù)據(jù)文件),并在每個(gè)文件末尾添加 .PLAY 擴(kuò)展名。
趨勢(shì)科技稱(chēng),要關(guān)閉所有運(yùn)行中的 VMware ESXi 虛擬機(jī)以便對(duì)其進(jìn)行加密,加密程序?qū)?zhí)行以下代碼:
研究人員在分析時(shí)發(fā)現(xiàn),該變種專(zhuān)門(mén)針對(duì) VMFS(虛擬機(jī)文件系統(tǒng))設(shè)計(jì),VMFS 是 VMware 的 vSphere 服務(wù)器虛擬化套件使用的文件系統(tǒng)。
它還會(huì)在虛擬機(jī)的根目錄中投放一張贖金條,該贖金條將顯示在 ESXi 客戶端的登錄門(mén)戶和虛擬機(jī)重啟后的控制臺(tái)中。
Play 勒索軟件 Linux 控制臺(tái)贖金說(shuō)明,圖源:趨勢(shì)科技
2022 年 6 月,Play 勒索軟件首次浮出水面,首批受害者開(kāi)始在 BleepingComputer 論壇上尋求幫助。
該勒索軟件的操作者以從被入侵設(shè)備中竊取敏感文件而聞名,他們?cè)陔p重勒索攻擊中使用這些文件,迫使受害者支付贖金,并威脅將被盜數(shù)據(jù)泄露到網(wǎng)上。
Play 勒索軟件的受害者包括云計(jì)算公司 Rackspace、加利福尼亞州奧克蘭市、汽車(chē)零售巨頭阿諾德-克拉克、比利時(shí)安特衛(wèi)普市和達(dá)拉斯縣。
去年12 月,美國(guó)聯(lián)邦調(diào)查局在與 CISA 和澳大利亞網(wǎng)絡(luò)安全中心(ACSC)的聯(lián)合公告中警告說(shuō),截至 2023 年 10 月,該勒索軟件團(tuán)伙已入侵了全球約 300 家組織。
這三個(gè)政府機(jī)構(gòu)建議防御者盡可能啟用多因素身份驗(yàn)證,保持離線備份,實(shí)施恢復(fù)計(jì)劃,并保持所有軟件處于最新版本。
