Новая Linux-версия вымогательского ПО Play нацелена на виртуальные машины VMware ESXi

Play ransomware - последняя банда, которая начала внедрять специальный Linux-локер для шифрования виртуальных машин VMware ESXi. Компания Trend Micro, занимающаяся кибербезопасностью, чьи аналитики заметили новый вариант ransomware, говорит, что локер предназначен для проверки того, запущен ли он в среде ESXi перед выполнением, и что он может избежать обнаружения на системах Linux. "Это первый случай, когда мы наблюдаем, что Play ransomware нацелен на среды ESXi", - говорят в Trend Micro.

"Это говорит о том, что группа может расширить свои атаки на платформу Linux, что приведет к увеличению числа жертв и более успешным переговорам о выкупе". Эта тенденция известна уже несколько лет: большинство групп вымогателей сместили акцент на виртуальные машины ESXi после того, как предприятия перешли на их использование для хранения данных и размещения критически важных приложений из-за более эффективной работы с ресурсами. Вывод из строя виртуальных машин ESXi приводит к серьезным нарушениям и сбоям в работе бизнеса, а шифрование файлов и резервных копий значительно сокращает возможности жертв по восстановлению пострадавших данных.

Исследуя этот образец вымогательского ПО Play, специалисты Trend Micro также обнаружили, что банда вымогателей использует услуги по сокращению URL-адресов, предоставляемые агентом угроз, отслеживаемым как Prolific Puma.

После успешного запуска Linux-образцы вымогательского ПО Play сканируют и обесточивают все виртуальные машины, обнаруженные в зараженной среде, и начинают шифровать файлы (например, диск ВМ, файлы конфигурации и метаданные), добавляя в конец каждого файла расширение .PLAY.

Чтобы обесточить все работающие виртуальные машины VMware ESXi и зашифровать их, шифровальщик, по данным Trend Micro, выполнит следующий код:

/bin/sh -c «for vmid in $(vim-cmd vmsvc/getallvms | grep -v Vmid | awk „{print $1}“); do vim-cmd vmsvc/power.off $vmid; done».
Как выяснил BleepingComputer в ходе анализа, этот вариант разработан специально для VMFS (Virtual Machine File System), которая используется в пакете виртуализации серверов vSphere компании VMware.

Кроме того, в корневой каталог ВМ будет помещена записка с выкупом, которая отобразится на портале входа в систему клиента ESXi (и в консоли после перезагрузки ВМ).

Программа Play ransomware появилась в июне 2022 года, и первые жертвы обратились за помощью на форумы BleepingComputer. Ее операторы известны тем, что похищают конфиденциальные документы со взломанных устройств, которые они используют в атаках двойного вымогательства, чтобы заставить жертв заплатить выкуп под угрозой утечки украденных данных в интернет.

Среди известных жертв Play ransomware - компания Rackspace, занимающаяся облачными вычислениями, город Окленд в Калифорнии, гигант автомобильной розничной торговли Арнольд Кларк, бельгийский город Антверпен и округ Даллас. В декабре ФБР в совместном с CISA и Австралийским центром кибербезопасности (ACSC) сообщении предупредило, что банда ransomware взломала около 300 организаций по всему миру до октября 2023 года.