Novo ransomware mira Linux

Pesquisadores de cibersegurança descobriram uma nova variante Linux de uma cepa de ransomware conhecida como Play (também chamada de Balloonfly e PlayCrypt), que tem como alvo ambientes VMware ESXi.

“Este desenvolvimento sugere que o grupo pode estar ampliando seus ataques por toda a plataforma Linux, levando a um aumento no número de vítimas e negociações de resgate mais bem-sucedidas,” declararam pesquisadores da Trend Micro em um relatório publicado na sexta-feira(19).

Play, que surgiu em cena em junho de 2022, é conhecido por suas táticas de extorsão dupla, criptografando sistemas depois de exfiltrar dados sensíveis e exigindo pagamento em troca de uma chave de descriptografia.

De acordo com estimativas divulgadas pela Austrália e pelos EUA, até 300 organizações foram vitimizadas pelo grupo de ransomware até outubro de 2023.

Estatísticas compartilhadas pela Trend Micro para os primeiros sete meses de 2024 mostram que os EUA são o país com o maior número de vítimas, seguido por Canadá, Alemanha, Reino Unido e Holanda.

Manufatura, serviços profissionais, construção, TI, varejo, serviços financeiros, transporte, mídia, serviços jurídicos e imobiliário estão entre as principais indústrias afetadas pelo ransomware Play durante o período.

A análise da firma de cibersegurança de uma variante Linux do Play vem de um arquivo RAR hospedado em um endereço IP (108.61.142[.]190), que também contém outras ferramentas identificadas como usadas em ataques anteriores, como PsExec, NetScan, WinSCP, WinRAR e o backdoor Coroxy.

“Embora nenhuma infecção real tenha sido observada, o servidor de comando e controle (C&C) hospeda as ferramentas comuns que o ransomware Play atualmente usa em seus ataques,” disseram eles.

Isso pode indicar que a variante Linux possa empregar táticas, técnicas e procedimentos (TTPs) similares.

A amostra do ransomware, ao ser executada, verifica se está em um ambiente ESXi antes de proceder à criptografia de arquivos de máquina virtual (VM), incluindo arquivos de disco, configuração e metadados da VM, anexando a extensão “.PLAY.” Uma nota de resgate é então deixada no diretório raiz.

Análises adicionais determinaram que o grupo de ransomware Play provavelmente está usando os serviços e infraestrutura oferecidos pelo Prolific Puma, que oferece um serviço ilícito de encurtamento de links para outros cibercriminosos ajudando-os a evitar detecção enquanto distribuem malware.

Especificamente, emprega o que é chamado de algoritmo de geração de domínio registrado (RDGA) para criar novos nomes de domínio, um mecanismo programático que está sendo cada vez mais utilizado por vários atores de ameaças, incluindo VexTrio Viper e Revolver Rabbit, para phishing, spam e propagação de malware.

Revolver Rabbit, por exemplo, acredita-se que registrou mais de 500.000 domínios no domínio de topo (TLD) “.bond” a um custo aproximado de mais de US$ 1 milhão, utilizandos-os como servidores C2 ativos e iscas para o malware XLoader (também conhecido como FormBook).

“O padrão RDGA mais comum que este ator usa é uma série de uma ou mais palavras do dicionário seguidas por um número de cinco dígitos, com cada palavra ou número separado por um traço,” observou a Infoblox em uma análise recente.

“Às vezes, o ator usa códigos de países ISO 3166-1, nomes completos de países ou números correspondentes a anos em vez de palavras do dicionário.” Os RDGAs são muito mais desafiadores de detectar e defender do que os DGAs tradicionais devido ao fato de que permitem que os atores de ameaças gerem muitos nomes de domínio para registrá-los para uso – seja de uma só vez ou ao longo do tempo – em sua infraestrutura criminosa.

“Em um RDGA, o algoritmo é um segredo mantido pelo ator de ameaça, e eles registram todos os nomes de domínio,” disse a Infoblox.

Em um DGA tradicional, o malware contém um algoritmo que pode ser descoberto, e a maioria dos nomes de domínio não será registrada.

Enquanto DGAs são usados exclusivamente para conexão com um controlador de malware, RDGAs são usados para uma ampla gama de atividades maliciosas.

As últimas descobertas indicam uma colaboração potencial entre duas entidades criminosas cibernéticas, sugerindo que os atores do ransomware Play estão tomando medidas para contornar protocolos de segurança através dos serviços do Prolific Puma.

“Ambientes ESXi são alvos de alto valor para ataques de ransomware devido ao seu papel crítico nas operações de negócios,” concluiu a Trend Micro.

A eficiência de criptografar numerosas VMs ao mesmo tempo e os dados valiosos que elas contêm elevam ainda mais sua lucratividade para cibercriminosos.

1 curtida

O que acabei de ler é que ambiente ESXi é destinado a máquinas corporativas e não a usuários domésticos.

Então, acho que estou fora dessa …

2 curtidas

Como certeza, @Henrique-RJ, você tem razão, porquê o VMware ESXi é um hypervisor bare-metal,(pesquise depois sobre…) que permite a virtualização de servidores físicos, criando múltiplas máquinas virtuais VMs que compartilham os recursos físicos do servidor. Ele é altamente otimizado para desempenho e eficiência, garantindo gerenciamento centralizado através do VMware vSphere e suporte para uma ampla gama de sistemas operacionais convidados e com recursos avançados de escalabilidade, segurança e recuperação de desastres, o ESXi é de modo amplamente utilizado em data centers empresariais para consolidar cargas de trabalho, aumentar a utilização de hardware e simplificar a administração de infraestrutura de TI.

E como você já sabe, o VMware ESXi é pontual destinado a ambientes corporativos e data centers, onde há necessidade de consolidar e gerenciar múltiplas máquinas virtuais em servidores físicos,e nessa condição,ele oferece recursos avançados de desempenho, escalabilidade e segurança, que são mais apropriados para empresas que precisam de soluções robustas para virtualização de servidores,usuários domésticos não necessitam desse nível de complexidade e podem encontrar soluções mais simples e adequadas em outras ferramentas de virtualização, como VMware Workstation ou VirtualBox.

Se usuários domésticos tivessem condições de usar,poderiam enfrentar vários desafios ao tentar usar VMware ESXi, como a complexidade na configuração e administração, que requer conhecimentos avançados em virtualização e gerenciamento de servidores,e ainda há o fato de que o ESXi pode não ser compatível com hardware de consumo comum, necessitando de componentes específicos de servidor. A falta de suporte e recursos empresariais, como o VMware vSphere, pode dificultar o gerenciamento eficiente das VMs. E resumindo, o custo de licenciamento pode ser proibitivo para usuários domésticos, que podem obter soluções de virtualização gratuitas e mais amigáveis com ferramentas como VMware Workstation ou VirtualBox. Quando vi essa notícia, decidi compartilhar para uma notificação do como comunidades cybercriminosas,parecem está um passo a frente nos seus intentos não ordeiros. :rotating_light: :coffee:

1 curtida