A Play ransomware új linux variánsa az ESXi-t célozza
A Trend Micro fenyegetésvadászai felfedezték, hogy a Play ransomware csoport egy új Linux-változatot telepített, amely ESXi-környezeteket céloz meg. A legtöbb támadás idén az Egyesült Államokban összpontosult. Ez a ransomware variáns a futtatás előtt ellenőrzi, hogy ESXi környezetben fut-e és a VirusTotal szerint sikeresen kijátssza a védelmi intézkedéseket. Úgy tűnik, hogy a Play ransomware csoport a Prolific Puma csoport által forgalmazott szolgáltatásokat és infrastruktúrát használja. A VMWare ESXi környezeteket a vállalkozások általában több virtuális gép (VM) futtatására használják. Ezek gyakran kritikus alkalmazások és adatok tárhelyei, és általában integrált biztonsági mentési megoldásokat is tartalmaznak. Ezek kompromittálása jelentősen megzavarhatja az üzleti műveleteket, és akár a biztonsági mentéseket is titkosíthatja, ami tovább csökkenti az áldozat adat-visszaállítási képességét.
A Trend Micro által azonosított Play ransomware Linux-változat csak akkor titkosítja a fájlokat, ha VMWare ESXi környezetben fut. Az először 2022 júniusában észlelt Play zsarolóvírus csoport a kettős zsarolási taktikájával, kitérési technikáival, egyedi fejlesztésű eszközeivel és a különböző latin-amerikai szervezetekre gyakorolt jelentős hatásával vált figyelemre méltóvá.
Ez az első alkalom, hogy kutatók megfigyelték a Play ransomware ESXi-környezeteket célzó támadását. Ez arra utal, hogy a csoport a Linux platformra is kiterjesztheti támadásait, ami az áldozatok körének bővüléséhez és sikeresebb váltságdíjtárgyalásokhoz vezethet.
A kockázatok és az ezeknek a támadásoknak való kitettség csökkentése érdekében a szervezeteknek számos bevált gyakorlatot kell alkalmazniuk:
- Rendszeres javítások és frissítések
- Virtuális patchelés
- A hibás konfigurációk kezelése
- Erős hozzáférés-szabályozás
- Hálózati szegmentálás
- Támadási felület minimalizálása
- Rendszeres offline backup készítése
- Biztonsági felügyelet és incidenskezelési terv
