Новая Linux-версия вируса Play обходит традиционные системы защиты

Trend Micro обнаружила новую версию программы-вымогателя Play (Balloonfly, PlayCrypt), которая теперь нацелена на VMware ESXi. Новая Linux-версия говорит о расширении атак группы, что увеличивает число потенциальных жертв и усиливает вероятность успешных переговоров по выкупу.

Впервые появившийся в июне 2022 года, вирус Play известен своими тактиками двойного вымогательства. Программа-вымогатель шифрует системы после извлечения конфиденциальных данных, требуя выкуп за ключ дешифровки. По оценкам, к октябрю 2023 года жертвами Play стали около 300 организаций.

По данным Trend Micro, за первые 7 месяцев 2024 года наибольшее количество жертв вируса Play пришлось на США, за которыми следуют Канада, Германия, Великобритания и Нидерланды. Среди пострадавших отраслей – производство, профессиональные услуги, строительство, IT, розничная торговля, финансовые услуги, транспорт, медиа, юридические услуги и недвижимость.

Цепочка заражения Linux-варианта вымогателя Play

Анализ новой версии вируса Play для Linux основан на RAR-файле, размещенного на IP-адресе (108.61.142[.]190). В архиве также находятся другие инструменты, ранее использовавшиеся в атаках, такие как PsExec, NetScan, WinSCP, WinRAR и бэкдор Coroxy.

Хотя пока не было зафиксировано случаев заражения, на C2-сервере размещены общие инструменты, которые Play использует в своих атаках. Это может означать, что версия для Linux применяет аналогичные тактики, методы и процедуры (TTPs).

При запуске вирус обеспечивает работу в среде ESXi, а затем приступает к шифрованию файлов виртуальной машины, включая диск, файлы конфигурации и метаданные, и добавляет к ним расширение «.PLAY». Затем в корневой каталог помещается записка с требованием выкупа.

Дополнительный анализ показал, что группа Play, вероятно, использует услуги и инфраструктуру, предоставляемую Prolific Puma, которая предлагает незаконные сервисы сокращения ссылок другим киберпреступникам для обхода обнаружения при распространении вредоносного ПО.

Особенно примечательно использование алгоритма генерации зарегистрированных доменов (RDGA) для создания новых доменных имен — механизм, который все чаще используется несколькими злоумышленниками, включая VexTrio Viper и Revolver Rabbit, для фишинга, спама и распространения вредоносного ПО.

Например, Revolver Rabbit зарегистрировал более 500 000 доменов в зоне «.bond» на общую сумму около 1 миллиона долларов, используя домены в качестве активных и ложных C2-серверов для стилера XLoader (FormBook). Типичный шаблон RDGA у Revolver Rabbit включает один или несколько слов из словаря, за которыми следует пятизначное число, причём каждое слово или число разделяются дефисом. Домены легко читаемы и часто сфокусированы на определённых темах или регионах, например: «ai-courses-17621[.]bond».

RDGA сложнее обнаружить и защитить от него по сравнению с традиционными DGA, так как RDGA позволяет генерировать множество доменных имен для регистрации и использования в инфраструктуре – либо сразу, либо постепенно.

В RDGA алгоритм является секретом, известным только злоумышленнику, и хакер регистрирует все доменные имена. В традиционном DGA алгоритм содержится в самом вредоносном ПО, и его можно обнаружить, при этом большинство доменных имен не будут зарегистрированы. В то время как DGA используются исключительно для подключения к контроллеру вредоносного ПО, RDGA применяются для широкого спектра вредоносной деятельности.

Сравнение между DGA и RDGA

Последние данные указывают на возможное сотрудничество между двумя киберпреступными группами, что позволяет предположить, что операторы Play предпринимают шаги для обхода протоколов безопасности с помощью услуг Prolific Puma. Среды ESXi являются высокоценными целями для атак программ-вымогателей из-за критической роли в бизнес-операциях. Эффективность шифрования множества виртуальных машин одновременно и ценность данных, которые хранят машины, делают их особенно привлекательными для киберпреступников.