نسخة Linux جديدة من Play Ransomware تستهدف أنظمة VMWare ESXi

اكتشف باحثو الأمن السيبراني نسخة جديدة لنظام التشغيل Linux من سلالة برامج الفدية المعروفة باسم Play (المعروفة أيضًا باسم Balloonfly وPlayCrypt) المصممة لاستهداف بيئات VMWare ESXi.

وقال باحثو تريند مايكرو: “يشير هذا التطور إلى أن المجموعة قد تقوم بتوسيع هجماتها عبر منصة Linux، مما يؤدي إلى توسيع نطاق الضحايا ومفاوضات فدية أكثر نجاحًا”. قال في تقرير نشر الجمعة.

تُعرف شركة Play، التي ظهرت على الساحة في يونيو 2022، بتكتيكات الابتزاز المزدوج، حيث تقوم بتشفير الأنظمة بعد تسريب البيانات الحساسة والمطالبة بالدفع مقابل مفتاح فك التشفير. وفقًا للتقديرات الصادرة عن أستراليا والولايات المتحدة، وقع ما يصل إلى 300 منظمة ضحية لمجموعة برامج الفدية اعتبارًا من أكتوبر 2023.

تظهر الإحصائيات التي شاركتها تريند مايكرو للأشهر السبعة الأولى من عام 2024 أن الولايات المتحدة هي الدولة التي لديها أكبر عدد من الضحايا، تليها كندا وألمانيا والمملكة المتحدة وهولندا.

يعد التصنيع والخدمات المهنية والبناء وتكنولوجيا المعلومات وتجارة التجزئة والخدمات المالية والنقل والإعلام والخدمات القانونية والعقارات من أهم الصناعات المتضررة من برنامج الفدية Play خلال الفترة الزمنية.

يأتي تحليل شركة الأمن السيبراني لمتغير Linux من Play من ملف أرشيف RAR مستضاف على عنوان IP (108.61.142[.]190)، والذي يحتوي أيضًا على أدوات أخرى تم تحديدها على أنها استخدمت في الهجمات السابقة مثل PsExec، وNetScan، وWinSCP، وWinRAR، والباب الخلفي Coroxy.

وقالت: “على الرغم من عدم ملاحظة أي إصابة فعلية، إلا أن خادم القيادة والتحكم (C&C) يستضيف الأدوات الشائعة التي يستخدمها برنامج Play Ransomware حاليًا في هجماته”. “قد يشير هذا إلى أن إصدار Linux قد يستخدم تكتيكات وتقنيات وإجراءات مماثلة (TTPs).”

يضمن نموذج برنامج الفدية، عند التنفيذ، تشغيله في بيئة ESXi قبل متابعة تشفير ملفات الجهاز الظاهري (VM)، بما في ذلك قرص VM، وملفات التكوين والبيانات التعريفية، وإلحاقها بالملحق “.PLAY”. يتم بعد ذلك إسقاط مذكرة الفدية في الدليل الجذر.

توصل المزيد من التحليل إلى أن مجموعة Play Ransomware من المحتمل أن تستخدم الخدمات والبنية التحتية التي روجت لها شركة Prolific Puma، والتي تقدم خدمة تقصير الروابط غير المشروعة لمجرمي الإنترنت الآخرين لمساعدتهم على تجنب الكشف أثناء توزيع البرامج الضارة.

على وجه التحديد، فإنه يستخدم ما يسمى بخوارزمية إنشاء النطاق المسجل (RDGA) لتدوير أسماء النطاقات الجديدة، وهي آلية برمجية يتم استخدامها بشكل متزايد من قبل العديد من الجهات الفاعلة في مجال التهديد، بما في ذلك VexTrio Viper وRevolver Rabbit، للتصيد الاحتيالي والبريد العشوائي ونشر البرامج الضارة.

على سبيل المثال، يُعتقد أن Revolver Rabbit قد سجل أكثر من 500000 نطاق على نطاق المستوى الأعلى “.bond” (TLD) بتكلفة تقريبية تزيد عن مليون دولار، مستفيدًا منها كخوادم C2 نشطة ومخادعة لـ XLloader (المعروف أيضًا باسم FormBook) البرمجيات الخبيثة التي تسرق.

“إن نمط RDGA الأكثر شيوعًا الذي يستخدمه هذا الممثل هو سلسلة من كلمة واحدة أو أكثر من كلمات القاموس متبوعة برقم مكون من خمسة أرقام، مع فصل كل كلمة أو رقم بشرطة”. ذُكر في تحليل حديث. “في بعض الأحيان يستخدم الممثل رموز البلدان ISO 3166-1 أو أسماء البلدان الكاملة أو الأرقام المقابلة للسنوات بدلاً من كلمات القاموس.”

يعد اكتشاف RDGAs والدفاع ضدها أكثر صعوبة من اكتشاف RDGAs التقليدية نظرًا لأنها تسمح للجهات الفاعلة في مجال التهديد بإنشاء العديد من أسماء النطاقات لتسجيلها لاستخدامها – إما مرة واحدة أو مع مرور الوقت – في البنية التحتية الإجرامية الخاصة بهم.

وقال Infoblox: “في RDGA، تكون الخوارزمية سرًا يحتفظ به ممثل التهديد، ويقومون بتسجيل جميع أسماء النطاقات”. “في DGA التقليدية، تحتوي البرامج الضارة على خوارزمية يمكن اكتشافها، ولن يتم تسجيل معظم أسماء النطاقات. بينما يتم استخدام DGAs حصريًا للاتصال بوحدة تحكم البرامج الضارة، يتم استخدام RDGA لمجموعة واسعة من الأنشطة الضارة. “

تشير أحدث النتائج إلى وجود تعاون محتمل بين كيانين من مجرمي الإنترنت، مما يشير إلى أن الجهات الفاعلة في برنامج Play Ransomware تتخذ خطوات لتجاوز بروتوكولات الأمان من خلال خدمات Prolific Puma.

وخلصت تريند مايكرو إلى أن “بيئات ESXi تعد أهدافًا عالية القيمة لهجمات برامج الفدية نظرًا لدورها الحاسم في العمليات التجارية”. “إن كفاءة تشفير العديد من الأجهزة الافتراضية في وقت واحد والبيانات القيمة التي تحتوي عليها تزيد من ربحيتها لمجرمي الإنترنت.”