Grupa ransomware Play atakuje serwery ESXi

Łowcy zagrożeń Trend Micro odkryli, że grupa Play, zajmująca się tworzeniem ransomware, wdraża jego nowy wariant na Linuksa. Celem są środowiska ESXi.

Nic tak nie przyciąga podmiotów zagrażających jak możliwość ataku na serwery ESXi, które zarządzają wieloma maszynami wirtualnymi w organizacjach i firmach.

Pomyślne naruszenie tych serwerów może im zapewnić dostęp do wielu cennych danych i kontrolę nad całymi środowiskami sieciowymi.

Ponadto udana eksploatacja może umożliwić przestępcom jednoczesne wdrożenie oprogramowania ransomware w wielu systemach i wyrządzenie organizacjom szkód operacyjnych oraz finansowych.

Co wiemy o nowym malware?

Wiadomo, że malware jest trudny do wykrycia i aktywuje się tylko, gdy wykryje obecność środowiska ESXi.

Próbka przesłana do VirusTotal wskazuje, że udało mu się ominąć zabezpieczenia. Z analizy Trend Micro wynika, że wariant systemu Linux jest skompresowany w pliku RAR wraz z wariantem dla systemu Windows i przechowywany pod adresem URL hxxp://108.61.142[.]190/FX300.rar.

Źródło: Trend Micro

Malware wyłącza także system dla wszystkich maszyn wirtualnych i zmienia komunikaty otrzymane po ponownym uruchomieniu, aby sprawiać wrażenie, że nic się nie stało. Wszystko wykonuje za pomocą poleceń specyficznych dla ESXi.

W rezultacie zmienia nazwy zaszyfrowanych plików na rozszerzenie „.PLAY” i pozostawia żądanie okupu.

Łańcuch infekcji. Źródło: Trend Micro

Oznacza to, że Play przyjął nowe strategie mające na celu atakowanie infrastruktury wirtualizacji o znaczeniu krytycznym, co doprowadziło do znacznych zakłóceń operacyjnych i skomplikowanych działań związanych z odzyskiwaniem danych.

Skąd zaciągany jest malware?

Dochodzenie w sprawie infrastruktury hostingowej oprogramowania ransomware Play ujawniło powiązania z Prolific Puma. Ten cyberprzestępca jest znany ze sprzedaży oprogramowania do skracania linków w łączach innym podmiotom stwarzającym zagrożenia internetowe.

Adres IP, na którym znajduje się zestaw narzędzi oprogramowania ransomware Play, jest rozpoznawany jako domeny zgodne ze wzorcem algorytmu generowania losowych domen (RDGA), typowym dla Prolific Puma.

Zalecenia w celu ochrony przed atakami na środowiska ESXi

Poniżej wymieniamy wszystkie środki zaradcze, o których wspomina Trend Micro:

  • Regularnie łataj i aktualizuj środowiska ESXi.
  • Wprowadź mechanizm wirtualnego wdrażania poprawek w celu natychmiastowego ograniczenia ryzyka.
  • Sprawdzaj i poprawiaj błędne konfiguracje ESXi.
  • Egzekwuj silną kontrolę dostępu za pomocą usługi MFA.
  • Stosuj segmentację dla systemów i krytycznych sieci.
  • Zminimalizuj obszary ataku, wyłączając niepotrzebne usługi.
  • Utrzymuj i regularne testuj w trybie offline kopie zapasowe.

Wdróż monitorowanie bezpieczeństwa i opracuj plany reagowania na incydenty.

Podziel się z innymi tym artykułem!