Ερευνητές κυβερνοασφάλειας ανακάλυψαν μια νέα Linux παραλλαγή του Play ransomware (γνωστού και ως Balloonfly και PlayCrypt), που έχει σχεδιαστεί για να στοχεύει περιβάλλοντα VMWare ESXi.
“Αυτή η εξέλιξη υποδηλώνει ότι η ομάδα θα μπορούσε να διευρύνει τις επιθέσεις της σε όλη την πλατφόρμα Linux, οδηγώντας σε μια διευρυμένη ομάδα θυμάτων και σε πιο επιτυχημένες διαπραγματεύσεις για τα λύτρα“, ανέφεραν οι ερευνητές της Trend Micro.
Το Play ransomware, το οποίο εμφανίστηκε τον Ιούνιο του 2022, είναι γνωστό για τις τακτικές διπλού εκβιασμού. Αυτό σημαίνει ότι κλέβει σημαντικά δεδομένα από τα παραβιασμένα δίκτυα και μετά κρυπτογραφεί τα συστήματα και ζητά λύτρα για το κλειδί αποκρυπτογράφησης. Αν τα θύματα δεν θέλουν να πληρώσουν ή έχουν αντίγραφα ασφαλείας, οι hackers απειλούν να διαρρεύσουν τα κλεμμένα δεδομένα. Σύμφωνα με εκτιμήσεις που δημοσιεύθηκαν από την Αυστραλία και τις ΗΠΑ, έως και 300 οργανισμοί είχαν πέσει θύματα του Play ransomware έως τον Οκτώβριο του 2023.
Δείτε επίσης: Ρώσοι hackers παραδέχτηκαν την εμπλοκή τους στο LockBit ransomware
Τα στατιστικά στοιχεία που κοινοποίησε η Trend Micro για τους πρώτους επτά μήνες του 2024, δείχνουν ότι οι ΗΠΑ έχουν το μεγαλύτερο αριθμό θυμάτων. Ακολουθούν ο Καναδάς, η Γερμανία, το Ηνωμένο Βασίλειο και η Ολλανδία. Οι hackers στοχεύουν επιχειρήσεις σε διάφορους κλάδους (π.χ. κατασκευές, πληροφορική, λιανικό εμπόριο, χρηματοοικονομικές υπηρεσίες, μεταφορές, μέσα ενημέρωσης, νομικές υπηρεσίες).
Η ανάλυση της Linux παραλλαγής του Play ransomware προέρχεται από ένα RAR archive file που φιλοξενείται σε μια διεύθυνση IP (108.61.142[.]190), η οποία περιέχει επίσης άλλα εργαλεία που έχουν χρησιμοποιηθεί σε προηγούμενες επιθέσεις: PsExec, NetScan, WinSCP, WinRAR και το Coroxy backdoor.
Αν και δεν έχει παρατηρηθεί πραγματική μόλυνση, ο διακομιστής εντολών και ελέγχου (C&C) φιλοξενεί τα κοινά εργαλεία που χρησιμοποιεί επί του παρόντος το Play ransomware στις επιθέσεις του“, ανέφερε. “Αυτό θα μπορούσε να υποδηλώνει ότι η παραλλαγή Linux μπορεί να χρησιμοποιεί παρόμοιες τακτικές, τεχνικές και διαδικασίες (TTP)“.
Το δείγμα ransomware διασφαλίζει ότι εκτελείται σε περιβάλλον ESXi πριν προχωρήσει στην κρυπτογράφηση virtual machine (VM) files, συμπεριλαμβανομένων VM disk, configuration και metadata files. Προσαρτά την επέκταση “.PLAY” στα κρυπτογραφημένα αρχεία. Στη συνέχεια, παρουσιάζεται και ένα σημείωμα λύτρων.
Περαιτέρω ανάλυση έδειξε ότι η ομάδα Play ransomware πιθανότατα χρησιμοποιεί τις υπηρεσίες και την υποδομή της Prolific Puma, η οποία προσφέρει μια παράνομη υπηρεσία συντόμευσης συνδέσμων σε εγκληματίες του κυβερνοχώρου για να τους βοηθήσει να αποφύγουν τον εντοπισμό κατά τη διανομή κακόβουλου λογισμικού.
Συγκεκριμένα, χρησιμοποιεί αυτό που ονομάζεται registered domain generation algorithm (RDGA) για νέα domain names.
Δείτε επίσης: Οι hacker Scattered Spider συνδέονται με επιθέσεις ransomware Qilin
Τα RDGA είναι πολύ πιο δύσκολο να εντοπιστούν, ενώ δύσκολη είναι και η άμυνά εναντίον τους, λόγω του γεγονότος ότι επιτρέπουν στους φορείς απειλών να δημιουργήσουν πολλά domain names για να τα καταχωρήσουν για χρήση στην εγκληματική υποδομή τους.
“Σε ένα RDGA, ο αλγόριθμος είναι ένα μυστικό που φυλάσσεται από τον παράγοντα απειλής και καταχωρεί όλα τα domain names “, είπε η Infoblox. “Τα RDGA χρησιμοποιούνται για ένα ευρύ φάσμα κακόβουλων δραστηριοτήτων“.
Τα τελευταία ευρήματα υποδεικνύουν μια πιθανή συνεργασία μεταξύ δύο οντοτήτων, υποδηλώνοντας ότι οι hackers πίσω από το Play ransomware λαμβάνουν μέτρα για να παρακάμψουν τα πρωτόκολλα ασφαλείας μέσω των υπηρεσιών της Prolific Puma.
“Τα περιβάλλοντα ESXi είναι στόχοι υψηλής αξίας για επιθέσεις ransomware λόγω του κρίσιμου ρόλου τους στις επιχειρηματικές δραστηριότητες“, κατέληξε η Trend Micro. “Η αποτελεσματικότητα της ταυτόχρονης κρυπτογράφησης πολλών VM και τα πολύτιμα δεδομένα που διατηρούν, αυξάνουν περαιτέρω την κερδοφορία τους για τους εγκληματίες του κυβερνοχώρου“.
Προστασία από το ransomware
Δημιουργία αντίγραφων ασφαλείας των δεδομένων σας: Ένας από τους πιο αποτελεσματικούς τρόπους για να προστατευτείτε από μια επίθεση ransomware είναι να δημιουργείτε τακτικά αντίγραφα ασφαλείας των δεδομένων σας. Αυτό διασφαλίζει ότι ακόμα κι αν τα δεδομένα σας είναι κρυπτογραφημένα από ransomware, θα έχετε ένα ασφαλές αντίγραφο που μπορεί να αποκατασταθεί χωρίς να πληρώσετε τα λύτρα.
Ενημέρωση λειτουργικού συστήματος και λογισμικού: Τα μη ενημερωμένα λειτουργικά συστήματα και λογισμικά είναι ευάλωτα σε επιθέσεις στον κυβερνοχώρο. Είναι σημαντικό να ενημερώνετε τακτικά τις συσκευές σας με τις πιο πρόσφατες ενημερώσεις ασφαλείας και λογισμικού για να αποτρέψετε τυχόν ευπάθειες που θα μπορούσαν να χρησιμοποιηθούν από ransomware.
Προσοχή σε ύποπτα μηνύματα ηλεκτρονικού ταχυδρομείου και συνδέσμους: Οι επιθέσεις ransomware συχνά ξεκινούν με ένα phishing email ή κακόβουλο σύνδεσμο. Είναι σημαντικό να είστε προσεκτικοί όταν ανοίγετε μηνύματα ηλεκτρονικού ταχυδρομείου από άγνωστους αποστολείς. Επίσης, μην κάνετε κλικ σε ύποπτους συνδέσμους. Αυτά θα μπορούσαν να οδηγήσουν στην εγκατάσταση ransomware στη συσκευή σας.
Δείτε επίσης: Το ShadowRoot ransomware στοχεύει τουρκικές επιχειρήσεις μέσω κακόβουλων PDF
Χρήση λογισμικού προστασίας από ιούς: Η εγκατάσταση αξιόπιστου λογισμικού προστασίας από ιούς στις συσκευές σας μπορεί να σας βοηθήσει να εντοπίσετε και να αποτρέψετε επιθέσεις ransomware. Φροντίστε να ενημερώνετε τακτικά το λογισμικό προστασίας από ιούς για να βεβαιωθείτε ότι είναι εξοπλισμένο για να χειρίζεται νέες απειλές.
Εκπαίδευση: Ένα από τα πιο σημαντικά βήματα για την προστασία από ransomware είναι η εκπαίδευση. Είναι σημαντικό να παραμένετε ενημερωμένοι για τους πιο πρόσφατους τύπους ransomware και τον τρόπο λειτουργίας τους. Οι οργανισμοί θα πρέπει επίσης να εκπαιδεύουν τους υπαλλήλους τους για το πώς να εντοπίζουν και να αποφεύγουν πιθανές επιθέσεις.
Εφαρμογή ισχυρών κωδικών πρόσβασης: Οι αδύναμοι ή εύκολοι κωδικοί πρόσβασης μπορούν να διευκολύνουν τους hackers να αποκτήσουν πρόσβαση στις συσκευές σας και να εγκαταστήσουν ransomware. Είναι σημαντικό να χρησιμοποιείτε ισχυρούς και μοναδικούς κωδικούς πρόσβασης και να ενεργοποιείτε τον έλεγχο ταυτότητας δύο παραγόντων όποτε είναι δυνατόν.
Χρήση VPN: Ένα VPN κρυπτογραφεί τη σύνδεσή σας στο Διαδίκτυο και παρέχει ένα επιπλέον επίπεδο ασφάλειας έναντι επιθέσεων ransomware. Αυτό είναι ιδιαίτερα σημαντικό όταν χρησιμοποιείτε δημόσια δίκτυα Wi-Fi, τα οποία είναι συχνά μη ασφαλή και ευάλωτα σε επιθέσεις στον κυβερνοχώρο.
Πηγή: thehackernews.com