网络安全研究人员发现了一种新的 Linux 勒索软件变种,称为 Play(又名 Balloonfly 和 PlayCrypt),旨在针对 VMware ESXi 环境。
“这一事态发展表明,该组织可能正在扩大其在整个Linux平台上的攻击,导致受害者群体扩大和更成功的赎金谈判,”趋势科技研究人员在周五发表的一份报告中表示。
Play 于 2022 年 6 月问世,以其双重勒索策略而闻名,在泄露敏感数据后加密系统并要求付款以换取解密密钥。根据澳大利亚和美国发布的估计,截至 2023 年 10 月,多达 300 个组织成为勒索软件组织的受害者。
趋势科技分享的 2024 年前七个月的统计数据显示,美国是受害者人数最多的国家,其次是加拿大、德国、英国和荷兰。
在此期间,制造业、专业服务、建筑业、IT、零售业、金融服务业、运输业、媒体业、法律服务业和房地产业是受 Play 勒索软件影响的一些主要行业。
这家网络安全公司对 Play 的 Linux 变体的分析来自托管在 IP 地址 (108.61.142[.]190),其中还包含其他被识别为在以前的攻击中使用的工具,例如 PsExec、NetScan、WinSCP、WinRAR 和 Coroxy 后门。
“虽然没有观察到实际的感染,但命令和控制(C&C)服务器托管了Play勒索软件目前在攻击中使用的常用工具,”它说。“这可能意味着Linux变体可能采用类似的策略,技术和程序(TTP)。
勒索软件示例在执行时,可确保它在 ESXi 环境中运行,然后继续加密虚拟机 (VM) 文件,包括 VM 磁盘、配置和元数据文件,并在其后附加扩展名“.玩。然后,赎金记录将放入根目录中。
进一步的分析确定,Play 勒索软件组织可能正在使用 Prolific Puma 兜售的服务和基础设施,该公司为其他网络犯罪分子提供非法链接缩短服务,以帮助他们在分发恶意软件时逃避检测。
