Контакты
Подписка 2025
ТБ Форум 2025
Отечественные ИT-платформы и ПО для объектов КИИ. Онлайн-конференция | 6 марта 2025
Регистрируйтесь и участвуйте!

Новая Linux-версия вируса Play обходит традиционные системы защиты

22/07/24

Linux vulnerability3

Trend Micro обнаружила новую версию программы-вымогателя Play (Balloonfly, PlayCrypt), которая теперь нацелена на VMware ESXi. Новая Linux-версия говорит о расширении атак группы, что увеличивает число потенциальных жертв и усиливает вероятность успешных переговоров по выкупу.

Впервые появившийся в июне 2022 года, вирус Play известен своими тактиками двойного вымогательства. Программа-вымогатель шифрует системы после извлечения конфиденциальных данных, требуя выкуп за ключ дешифровки. По оценкам, к октябрю 2023 года жертвами Play стали около 300 организаций.

По данным Trend Micro, за первые 7 месяцев 2024 года наибольшее количество жертв вируса Play пришлось на США, за которыми следуют Канада, Германия, Великобритания и Нидерланды, пишет Securitylab. Среди пострадавших отраслей – производство, профессиональные услуги, строительство, IT, розничная торговля, финансовые услуги, транспорт, медиа, юридические услуги и недвижимость.

Анализ новой версии вируса Play для Linux основан на RAR-файле, размещенного на IP-адресе (108.61.142[.]190). В архиве также находятся другие инструменты, ранее использовавшиеся в атаках, такие как PsExec, NetScan, WinSCP, WinRAR и бэкдор Coroxy.

Хотя пока не было зафиксировано случаев заражения, на C2-сервере размещены общие инструменты, которые Play использует в своих атаках. Это может означать, что версия для Linux применяет аналогичные тактики, методы и процедуры (TTPs).

При запуске вирус обеспечивает работу в среде ESXi, а затем приступает к шифрованию файлов виртуальной машины, включая диск, файлы конфигурации и метаданные, и добавляет к ним расширение «.PLAY». Затем в корневой каталог помещается записка с требованием выкупа.

Дополнительный анализ показал, что группа Play, вероятно, использует услуги и инфраструктуру, предоставляемую Prolific Puma, которая предлагает незаконные сервисы сокращения ссылок другим киберпреступникам для обхода обнаружения при распространении вредоносного ПО.

Особенно примечательно использование алгоритма генерации зарегистрированных доменов (RDGA) для создания новых доменных имен — механизм, который все чаще используется несколькими злоумышленниками, включая VexTrio Viper и Revolver Rabbit, для фишинга, спама и распространения вредоносного ПО.

Например, Revolver Rabbit зарегистрировал более 500 000 доменов в зоне «.bond» на общую сумму около 1 миллиона долларов, используя домены в качестве активных и ложных C2-серверов для стилера XLoader (FormBook). Типичный шаблон RDGA у Revolver Rabbit включает один или несколько слов из словаря, за которыми следует пятизначное число, причём каждое слово или число разделяются дефисом. Домены легко читаемы и часто сфокусированы на определённых темах или регионах, например: «ai-courses-17621[.]bond».

RDGA сложнее обнаружить и защитить от него по сравнению с традиционными DGA, так как RDGA позволяет генерировать множество доменных имен для регистрации и использования в инфраструктуре – либо сразу, либо постепенно.

В RDGA алгоритм является секретом, известным только злоумышленнику, и хакер регистрирует все доменные имена. В традиционном DGA алгоритм содержится в самом вредоносном ПО, и его можно обнаружить, при этом большинство доменных имен не будут зарегистрированы. В то время как DGA используются исключительно для подключения к контроллеру вредоносного ПО, RDGA применяются для широкого спектра вредоносной деятельности.

Последние данные указывают на возможное сотрудничество между двумя киберпреступными группами, что позволяет предположить, что операторы Play предпринимают шаги для обхода протоколов безопасности с помощью услуг Prolific Puma. Среды ESXi являются высокоценными целями для атак программ-вымогателей из-за критической роли в бизнес-операциях. Эффективность шифрования множества виртуальных машин одновременно и ценность данных, которые хранят машины, делают их особенно привлекательными для киберпреступников.
Темы:LinuxУгрозыTrend MicroPlay
КИИ
Отечественные ИT-платформы и ПО для объектов критической информационной инфраструктуры
Регистрируйтесь и участвуйте 6 марта 2025
Статьи по темеСтатьи по теме

  • Куда российским компаниям мигрировать с Active Directory?
    Несмотря на то, что Active Directory является проверенным и широко используемым решением для управления идентификацией и доступом в Windows-средах, существует веская причина, по которой российские компании рассматривают переход на альтернативные каталоги. Эта причина – миграция с иностранных операционных систем, и как следствие – отказ от их экосистем и инфраструктур, построенных на их основе.
  • Решения Рутокен для аутентификации в российские ОC и информационные системы
    Андрей Шпаков, руководитель проектов по информационной безопасности в Компании "Актив"
    Устройства Рутокен являются передовыми аппаратными средствами пользовательской аутентификации на российском рынке. Совместно с другими средствами защиты они обеспечивают полный цикл MFA. Компания "Актив" создает не только аппаратные, но и программные решения, в частности, Рутокен Логон.
  • О безопасности заимствованных компонентов Open Source
    Алексей Хорошилов, руководитель Центра исследований безопасности системного программного обеспечения, ведущий научный сотрудник ФГБУН “ИСП РАН”
    Open Source стал неотъемлемой частью современного мира. Сегодня уже нет необходимости объяснять, что это такое, – с этим явлением все давно свыклись и приняли его как данность. Однако возникает другой вопрос: как эффективно и зрело работать с Open Source?
  • Пять мифов о безопасности российских операционных систем
    Роман Мылицын, руководитель отдела перспективных исследований “Группы Астра”
    Использование российских операционных систем на основе Linux для рабочих станций связано со множеством мифов, которые могут отпугивать пользователей и компании от внедрения. Разберем и развенчаем несколько самых распространенных заблуждений, касающихся информационной безопасности и корпоративного использования российских ОС на примере Astra Linux.
  • Secret Disk для Linux: прозрачное шифрование дисков на рабочих станциях
    Денис Суховей, руководитель департамента развития технологий компании Аладдин
    Secret Disk для Linux обеспечивает предотвращение утечек конфиденциальной информации с помощью шифрования на рабочих станциях с отечественными ОС семейства Linux.
  • Ideco NGFW VPP: новый высокопроизводительный подход к обработке трафика
    Дмитрий Хомутов, директор компании “Айдеко”
    К обычному Ideco NGFW. в 2023 г. добавилась высокоскоростная версия Ideco NGFW VPP. Рассмотрим, за счет чего удалось резко повысить производительность решения.

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Кибербезопасность инфраструктуры, данных и приложений. 7 марта 2025
Регистрация →

Еще темы...

More...