Исследователи кибербезопасности обнаружили новый вариант программы-вымогателя для Linux под названием Play (или Balloonfly, PlayCrypt), который предназначен для атак на среды VMware ESXi. Это событие свидетельствует о том, что группа расширяет свои атаки на Linux, что увеличивает количество потенциальных жертв и повышает эффективность переговоров о выкупе.
Программа Play, появившаяся на рынке в июне 2022 года, известна своей тактикой двойного вымогательства, шифрованием систем после извлечения конфиденциальных данных и требованием оплаты в обмен на ключ дешифрования. По оценкам, опубликованным Австралией и США, по состоянию на октябрь 2023 года жертвами группы программ-вымогателей стали около 300 организаций.
Согласно статистике, опубликованной Trend Micro за первые семь месяцев 2024 года, США являются страной с наибольшим числом жертв, за ними следуют Канада, Германия, Великобритания и Нидерланды. Производство, профессиональные услуги, строительство, ИТ, розничная торговля, финансовые услуги, транспорт, медиа, юридические услуги и недвижимость - вот некоторые из основных отраслей, пострадавших от программы-вымогателя Play за указанный период.
Анализ фирмы по кибербезопасности Linux-варианта Play основан на архивном файле RAR, размещенном на IP-адресе (108.61.142.190), который также содержит другие инструменты, идентифицированные как использовавшиеся в предыдущих атаках, такие как PsExec, NetScan, WinSCP, WinRAR и бэкдор Coroxy. Образец программы-вымогателя после запуска гарантирует, что он работает в среде ESXi, прежде чем приступить к шифрованию файлов виртуальной машины (VM), включая диск виртуальной машины, файлы конфигурации и метаданных, и добавлению к ним расширения ".PLAY". Затем в корневой каталог сбрасывается записка с требованием выкупа.
Дальнейший анализ показал, что группа программ-вымогателей Play, вероятно, использует сервисы и инфраструктуру, распространяемые Prolific Puma, которая предлагает другим киберпреступникам услугу незаконного сокращения ссылок, чтобы помочь им избежать обнаружения при распространении вредоносного ПО. В частности, он использует так называемый алгоритм генерации зарегистрированных доменов (RDGA) для создания новых доменных имен - программный механизм, который все чаще используется несколькими участниками угроз, включая VexTrio Viper и Revolver Rabbit, для фишинга, рассылки спама и распространения вредоносных программ.
Программа Play, появившаяся на рынке в июне 2022 года, известна своей тактикой двойного вымогательства, шифрованием систем после извлечения конфиденциальных данных и требованием оплаты в обмен на ключ дешифрования. По оценкам, опубликованным Австралией и США, по состоянию на октябрь 2023 года жертвами группы программ-вымогателей стали около 300 организаций.
Согласно статистике, опубликованной Trend Micro за первые семь месяцев 2024 года, США являются страной с наибольшим числом жертв, за ними следуют Канада, Германия, Великобритания и Нидерланды. Производство, профессиональные услуги, строительство, ИТ, розничная торговля, финансовые услуги, транспорт, медиа, юридические услуги и недвижимость - вот некоторые из основных отраслей, пострадавших от программы-вымогателя Play за указанный период.
Анализ фирмы по кибербезопасности Linux-варианта Play основан на архивном файле RAR, размещенном на IP-адресе (108.61.142.190), который также содержит другие инструменты, идентифицированные как использовавшиеся в предыдущих атаках, такие как PsExec, NetScan, WinSCP, WinRAR и бэкдор Coroxy. Образец программы-вымогателя после запуска гарантирует, что он работает в среде ESXi, прежде чем приступить к шифрованию файлов виртуальной машины (VM), включая диск виртуальной машины, файлы конфигурации и метаданных, и добавлению к ним расширения ".PLAY". Затем в корневой каталог сбрасывается записка с требованием выкупа.
Дальнейший анализ показал, что группа программ-вымогателей Play, вероятно, использует сервисы и инфраструктуру, распространяемые Prolific Puma, которая предлагает другим киберпреступникам услугу незаконного сокращения ссылок, чтобы помочь им избежать обнаружения при распространении вредоносного ПО. В частности, он использует так называемый алгоритм генерации зарегистрированных доменов (RDGA) для создания новых доменных имен - программный механизм, который все чаще используется несколькими участниками угроз, включая VexTrio Viper и Revolver Rabbit, для фишинга, рассылки спама и распространения вредоносных программ.
Исследователи кибербезопасности обнаружили новый вариант программы-вымогателя для Linux под названием Play (или Balloonfly, PlayCrypt), который предназначен для атак на среды VMware ESXi