I ricercatori di cybersecurity hanno recentemente scoperto una nuova variante Linux di un ransomware noto come Play, progettato per prendere di mira gli ambienti VMware ESXi. Questo sviluppo suggerisce che il gruppo responsabile stia ampliando i suoi attacchi sulla piattaforma Linux, aumentando così il numero di vittime e migliorando le negoziazioni per il riscatto.

Play Ransomware

Play, apparso sulla scena nel giugno 2022, è conosciuto per le sue tattiche di doppia estorsione: cripta i sistemi dopo aver esfiltrato dati sensibili e chiede un pagamento in cambio di una chiave di decrittazione. Stime fornite da Australia e Stati Uniti indicano che fino a ottobre 2023, circa 300 organizzazioni sono state vittime di questo gruppo ransomware.

Impatto Globale

Secondo i dati condivisi da Trend Micro per i primi sette mesi del 2024, gli Stati Uniti sono il paese con il maggior numero di vittime, seguiti da Canada, Germania, Regno Unito e Paesi Bassi. I settori più colpiti includono la produzione, i servizi professionali, la costruzione, l'IT, il commercio al dettaglio, i servizi finanziari, i trasporti, i media, i servizi legali e il settore immobiliare.

Analisi Tecnica

L'analisi di Trend Micro di una variante Linux di Play proviene da un file archivio RAR ospitato su un indirizzo IP (108.61.142[.]190), che contiene anche altri strumenti utilizzati in attacchi precedenti come PsExec, NetScan, WinSCP, WinRAR e il backdoor Coroxy. Sebbene non sia stata osservata alcuna infezione concreta, il server di comando e controllo (C&C) ospita gli strumenti comuni che il ransomware Play utilizza negli attacchi. Questo potrebbe indicare che la variante Linux potrebbe impiegare tattiche, tecniche e procedure simili.

Il campione di ransomware, una volta eseguito, verifica se sta funzionando in un ambiente ESXi prima di procedere a criptare i file delle macchine virtuali (VM), inclusi i file del disco della VM, della configurazione e dei metadati, aggiungendo loro l'estensione ".PLAY". Una nota di riscatto viene poi lasciata nella directory principale.

Ulteriori Analisi

Ulteriori analisi hanno determinato che il gruppo Play ransomware probabilmente utilizza i servizi e l'infrastruttura forniti da Prolific Puma, che offre un servizio di abbreviamento di link illecito ad altri cybercriminali per aiutarli a evitare la rilevazione durante la distribuzione del malware.

In particolare, impiega un algoritmo di generazione di domini registrati (RDGA) per creare nuovi nomi di dominio, un meccanismo sempre più utilizzato da diversi attori delle minacce, inclusi VexTrio Viper e Revolver Rabbit, per phishing, spam e propagazione di malware. Revolver Rabbit, ad esempio, si ritiene abbia registrato oltre 500.000 domini sul dominio di primo livello ".bond" a un costo approssimativo di più di 1 milione di dollari, utilizzandoli come server C2 attivi e di esca per il malware XLoader (noto anche come FormBook).

I risultati più recenti indicano una potenziale collaborazione tra due entità cybercriminali, suggerendo che gli attori del ransomware Play stiano adottando misure per bypassare i protocolli di sicurezza attraverso i servizi di Prolific Puma. Gli ambienti ESXi sono obiettivi di alto valore per gli attacchi ransomware a causa del loro ruolo critico nelle operazioni aziendali. L'efficienza nel criptare numerose VM contemporaneamente e i dati preziosi che contengono aumentano ulteriormente la loro attrattività per i cybercriminali.