Новая мишень киберпреступников
Эксперты компании Trend Micro выявили новую версию шифровальщика Play (он же Balloonfly и PlayCrypt), на этот раз нацеленную на среды VMware ESXi. Play подозревают в использовании услуг и инфраструктуры группировки Prolific Puma, снабжающей киберпреcтупников средствами сокращения ссылок для обхода средств обнаружения.
Play впервые был выявлен в 2022 г. Группировка, стоящая за ним, использует ставшую уже типичной тактику двойного вымогательства: помимо шифрования, злоумышленники крадут значимые данные из корпоративной инфраструктуры, после чего требуют выкуп и за ключи дешифровки, и за сохранение конфиденциальности похищенной информации.
К октябрю 2023 г. в Австралии и США насчитывалось не менее 300 организаций, пострадавших от деятельности этой банды. Количество жертв продолжает расти. Чаще всего атакам подвергаются организации в США, за ними следуют Канада, Германия, Великобритания и Нидерланды.
Что касается отраслевой принадлежности, то это производство, профессиональные услуги, строительство, ИТ, ритейл, финансовые услуги, транспорт, СМИ, юридические компании и риэлторские организации.
Linux-вариант Play атакующий гипервизоры VMware, распространяется с архивом RAR, который, как выяснили эксперты, размещается по IP-адресу 108.61.142.19 (принадлежит американскому облачному провайдеру Constant). На этом же ресурсе размещаются инструменты, использовавшиеся в других атаках Play, в том числе легитимные утилиты PsExec, NetScan, WinSCP, WinRAR и бэкдор Coroxy.
Эксперты полагают, что это контрольный сервер вредоноса.
Проникнув на целевой ресурс, шифровальщик проверяет, находится ли он в среде ESXi, и если это так, то он начинает шифровать содержимое виртуальных машин, включая их диски, настроечные файлы и файлы метаданных. Ко всем добавляется расширение .PLAY. В корневой каталог сохраняется файл с требованием выкупа.
Братья по криминалу
Помимо этого, эксперты Trend Micro подозревают, что Play использует услуги и инфраструктуру группировки Prolific Puma, которая снабжает киберзлоумышленников средствами сокращения ссылок для обхода средств обнаружения и, в частности, алгоритм генерации новых доменных имен. В использовании этих сервисов замечены, в частности, группировки VexTrio Viper и Revolver Rabbit, специализирующиеся на фишинге, спаме и распространении вредоносов.
Revolver Rabbit, например, зарегистрировал порядка 500 тыс. доменов в зоне .bond (общая стоимость – около $1 млн), используя их в качестве контрольных и маскировочных серверов для инфостилера XLoader.
О существовании Prolific Puma стало известно осенью 2023 г., и эту группировку сразу же обозначили как важного инфраструктурного игрока в киберкриминальном мире, которые зарегистрировал к тому времени десятки тыс. доменов для различных злоумышленников.
«Вероятнее всего, информации о сотрудничестве тех или иных группировок с Prolific Puma будет все больше, – полагает , эксперт по информационной безопасности компании SEQ. – В течение какого-то времени этот игрок оставался в тени, но сохранил активность и после обнаружения, что означает, что он уже достаточно закрепился в своей нише, и не испытывает проблем с клиентурой, поскольку предлагает очень удобный инструмент для обхода защитных блокировок. В такой услуге злоумышленники будут заинтересованы всегда. Что касается ESXi, то все большее количество шифровальщиков пытаются атаковать именно виртуализированные среды, поскольку они зачастую играют критическую роль в бизнесе. Заблокировав виртуальные машины, злоумышленники получают колоссальные козыри для вымогательской деятельности».