Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Новая Linux-версия вируса Play обходит традиционные системы защиты

22/07/24

Linux vulnerability3

Trend Micro обнаружила новую версию программы-вымогателя Play (Balloonfly, PlayCrypt), которая теперь нацелена на VMware ESXi. Новая Linux-версия говорит о расширении атак группы, что увеличивает число потенциальных жертв и усиливает вероятность успешных переговоров по выкупу.

Впервые появившийся в июне 2022 года, вирус Play известен своими тактиками двойного вымогательства. Программа-вымогатель шифрует системы после извлечения конфиденциальных данных, требуя выкуп за ключ дешифровки. По оценкам, к октябрю 2023 года жертвами Play стали около 300 организаций.

По данным Trend Micro, за первые 7 месяцев 2024 года наибольшее количество жертв вируса Play пришлось на США, за которыми следуют Канада, Германия, Великобритания и Нидерланды, пишет Securitylab. Среди пострадавших отраслей – производство, профессиональные услуги, строительство, IT, розничная торговля, финансовые услуги, транспорт, медиа, юридические услуги и недвижимость.

Анализ новой версии вируса Play для Linux основан на RAR-файле, размещенного на IP-адресе (108.61.142[.]190). В архиве также находятся другие инструменты, ранее использовавшиеся в атаках, такие как PsExec, NetScan, WinSCP, WinRAR и бэкдор Coroxy.

Хотя пока не было зафиксировано случаев заражения, на C2-сервере размещены общие инструменты, которые Play использует в своих атаках. Это может означать, что версия для Linux применяет аналогичные тактики, методы и процедуры (TTPs).

При запуске вирус обеспечивает работу в среде ESXi, а затем приступает к шифрованию файлов виртуальной машины, включая диск, файлы конфигурации и метаданные, и добавляет к ним расширение «.PLAY». Затем в корневой каталог помещается записка с требованием выкупа.

Дополнительный анализ показал, что группа Play, вероятно, использует услуги и инфраструктуру, предоставляемую Prolific Puma, которая предлагает незаконные сервисы сокращения ссылок другим киберпреступникам для обхода обнаружения при распространении вредоносного ПО.

Особенно примечательно использование алгоритма генерации зарегистрированных доменов (RDGA) для создания новых доменных имен — механизм, который все чаще используется несколькими злоумышленниками, включая VexTrio Viper и Revolver Rabbit, для фишинга, спама и распространения вредоносного ПО.

Например, Revolver Rabbit зарегистрировал более 500 000 доменов в зоне «.bond» на общую сумму около 1 миллиона долларов, используя домены в качестве активных и ложных C2-серверов для стилера XLoader (FormBook). Типичный шаблон RDGA у Revolver Rabbit включает один или несколько слов из словаря, за которыми следует пятизначное число, причём каждое слово или число разделяются дефисом. Домены легко читаемы и часто сфокусированы на определённых темах или регионах, например: «ai-courses-17621[.]bond».

RDGA сложнее обнаружить и защитить от него по сравнению с традиционными DGA, так как RDGA позволяет генерировать множество доменных имен для регистрации и использования в инфраструктуре – либо сразу, либо постепенно.

В RDGA алгоритм является секретом, известным только злоумышленнику, и хакер регистрирует все доменные имена. В традиционном DGA алгоритм содержится в самом вредоносном ПО, и его можно обнаружить, при этом большинство доменных имен не будут зарегистрированы. В то время как DGA используются исключительно для подключения к контроллеру вредоносного ПО, RDGA применяются для широкого спектра вредоносной деятельности.

Последние данные указывают на возможное сотрудничество между двумя киберпреступными группами, что позволяет предположить, что операторы Play предпринимают шаги для обхода протоколов безопасности с помощью услуг Prolific Puma. Среды ESXi являются высокоценными целями для атак программ-вымогателей из-за критической роли в бизнес-операциях. Эффективность шифрования множества виртуальных машин одновременно и ценность данных, которые хранят машины, делают их особенно привлекательными для киберпреступников.
Темы:LinuxУгрозыTrend MicroPlay
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...