Nuova Variante Linux del Ransomware Play Colpisce Sistemi VMware ESXi
Ricercatori di sicurezza informatica hanno scoperto una nuova variante Linux del ransomware Play (noto anche come Balloonfly e PlayCrypt) progettata per colpire ambienti VMware ESXi.
"Questo sviluppo suggerisce che il gruppo potrebbe espandere i propri attacchi alla piattaforma Linux, aumentando il numero di potenziali vittime e il successo delle richieste di riscatto", hanno affermato i ricercatori di Trend Micro in un rapporto pubblicato venerdì.
Play, apparso sulla scena nel giugno 2022, è noto per la sua doppia estorsione: crittografa i sistemi dopo aver sottratto dati sensibili e richiede un pagamento in cambio della chiave di decrittazione. Secondo le stime rilasciate da Australia e Stati Uniti, a ottobre 2023 sarebbero state colpite circa 300 organizzazioni dal gruppo ransomware.
Le statistiche condivise da Trend Micro per i primi sette mesi del 2024 mostrano che gli Stati Uniti sono il Paese con il maggior numero di vittime, seguiti da Canada, Germania, Regno Unito e Paesi Bassi.
Tra i settori più colpiti dal ransomware Play nel periodo considerato rientrano produzione, servizi professionali, costruzioni, IT, commercio al dettaglio, servizi finanziari, trasporti, media, servizi legali e immobiliare.
L'analisi dell'azienda di cybersecurity sulla variante Linux di Play proviene da un file archivio RAR ospitato su un indirizzo IP (108.61.142.190) che contiene anche altri strumenti utilizzati in attacchi precedenti, come PsExec, NetScan, WinSCP, WinRAR e la backdoor Coroxy.
"Sebbene non sia stata osservata alcuna infezione vera e propria, il server di comando e controllo (C&C) ospita i tool comuni che il ransomware Play utilizza attualmente nei suoi attacchi", si legge nel rapporto. "Questo potrebbe indicare che la variante Linux potrebbe impiegare tattiche, tecniche e procedure (TTP) simili".
Il campione di ransomware, una volta eseguito, verifica di essere in un ambiente ESXi prima di procedere alla crittografia dei file delle macchine virtuali (VM), inclusi dischi VM, file di configurazione e metadati, aggiungendo loro l'estensione ".PLAY". Una richiesta di riscatto viene poi lasciata nella directory principale.
Ulteriori analisi hanno determinato che il gruppo ransomware Play probabilmente utilizza i servizi e l'infrastruttura forniti da Prolific Puma, che offre un servizio illegale di abbreviazione di link ad altri cybercriminali per aiutarli a eludere il rilevamento durante la distribuzione di malware.
Nello specifico, impiega un algoritmo di generazione del dominio registrato (RDGA) per creare nuovi nomi di dominio, un meccanismo programmatico sempre più utilizzato da diversi attori delle minacce, inclusi VexTrio Viper e Revolver Rabbit, per phishing, spam e diffusione di malware.
Si ritiene, ad esempio, che Revolver Rabbit abbia registrato oltre 500.000 domini sul top-level domain (TLD) ".bond" a un costo approssimativo di oltre 1 milione di dollari, utilizzandoli come server C&C attivi e fittizi per lo stealer malware XLoader (aka FormBook).
"Lo schema RDGA più comune utilizzato da questo attore è una serie di una o più parole di dizionario seguite da un numero di cinque cifre, con ogni parola o numero separati da un trattino", ha osservato Infoblox in una recente analisi. "A volte l'attore utilizza codici paese ISO 3166-1, nomi completi di paesi o numeri corrispondenti agli anni al posto delle parole di dizionario".
Gli RDGA sono molto più difficili da rilevare e difendere rispetto ai tradizionali DGA (algoritmi di generazione del dominio) poiché consentono agli attori delle minacce di generare molti nomi di dominio da registrare per l'utilizzo - tutti in una volta o nel tempo - nella loro infrastruttura criminale.
"In un RDGA, l'algoritmo è un segreto custodito dall'attore della minaccia e vengono registrati tutti i nomi di dominio", ha affermato Infoblox.
L'emergere di una variante Linux del ransomware Play rappresenta una minaccia significativa per le organizzazioni che utilizzano ambienti VMware ESXi. La capacità del malware di crittografare più VM contemporaneamente lo rende un bersaglio appetibile per i cybercriminali.
Le organizzazioni dovrebbero adottare diverse misure per mitigare il rischio di attacchi Play:
- Applicare regolarmente le patch di sicurezza per VMware ESXi.
- Implementare soluzioni di backup e ripristino affidabili.
- Segmentare le reti per limitare la diffusione del malware.
- Effettuare regolarmente scansioni per vulnerabilità e malware.
- Sensibilizzare i dipendenti sui pericoli del ransomware e sulle migliori pratiche di sicurezza.
- Utilizzare soluzioni di sicurezza informatica in grado di rilevare e bloccare i ransomware.
Inoltre, le organizzazioni dovrebbero essere consapevoli della potenziale collaborazione tra Play e Prolific Puma. Questo potrebbe rendere più difficile il rilevamento e la prevenzione degli attacchi. È importante monitorare le minacce informatiche emergenti e aggiornare le difese di conseguenza.
L'utilizzo di un servizio di threat intelligence può aiutare le organizzazioni a rimanere al passo con le ultime minacce e vulnerabilità. Questo può aiutarli a implementare le opportune misure di mitigazione per ridurre il rischio di attacchi informatici.
In aggiunta alle misure di sicurezza sopracitate, le organizzazioni dovrebbero considerare anche l'adozione di un piano di risposta agli incidenti. Questo piano dovrebbe delineare i passaggi da seguire in caso di attacco ransomware, come l'isolamento dei sistemi interessati, la rimozione del malware e il ripristino dei dati.
Avere un piano di risposta agli incidenti ben definito può aiutare le organizzazioni a ridurre l'impatto di un attacco ransomware e a ripristinare le loro operazioni il più rapidamente possibile.
Restando informati e adottando le opportune misure di sicurezza, le organizzazioni possono ridurre il rischio di essere vittime di attacchi ransomware come quello del Play ransomware.
Per rimanere aggiornato sui più recenti attacchi di hacking e sulle ultime novità in ambito cybersecurity, visita la nostra pagina dedicata. Troverai analisi approfondite e consigli su come proteggerti dalle minacce informatiche.