针对VMware ESXi 的PLAY勒索软件的变种

网络安全研究人员发现了一种名为Play（又名 Balloonfly 和 PlayCrypt）的勒索软件新 Linux 变种，该变种专门针对 VMware ESXi 环境。

趋势科技的研究人员在周五发布的一份报告中表示： “这一进展表明，该组织可能正在扩大其在 Linux 平台上的攻击，从而扩大受害者范围并获得更多成功的赎金谈判。”

Play 于 2022 年 6 月出现，以其双重勒索策略而闻名，即在窃取敏感数据后加密系统，并要求付款以换取解密密钥。根据澳大利亚和美国发布的估计，截至 2023 年 10 月，多达 300 个组织成为该勒索软件组织的受害者。

趋势科技分享的2024年前七个月的统计数据显示，美国是受害者数量最多的国家，其次是加拿大、德国、英国和荷兰。

制造业、专业服务、建筑业、IT、零售业、金融服务、运输业、媒体、法律服务和房地产是这段时间内受 Play 勒索软件影响最大的行业。

该网络安全公司对 Play Linux 变体的分析来自托管在 IP 地址 (108.61.142[.]190) 上的 RAR 存档文件，该文件还包含已确定在以前的攻击中使用过的其他工具，例如 PsExec、NetScan、WinSCP、WinRAR 和 Coroxy 后门。

“虽然没有发现实际感染，但命令和控制 (C&C) 服务器托管了 Play 勒索软件目前在攻击中使用的常用工具，”报告称。“这可能表明 Linux 变体可能采用类似的策略、技术和程序 (TTP)。”

勒索软件样本在执行时会确保其在 ESXi 环境中运行，然后继续加密虚拟机 (VM) 文件，包括 VM 磁盘、配置和元数据文件，并在其后附加扩展名“.PLAY”。然后将勒索信放在根目录中。

进一步分析表明，Play 勒索软件组织很可能正在使用Prolific Puma兜售的服务和基础设施，该公司向其他网络犯罪分子提供非法链接缩短服务，帮助他们在分发恶意软件时逃避检测。

具体来说，它采用所谓的注册域生成算法（RDGA）来生成新域名，这是一种编程机制，越来越多地被包括VexTrio Viper和 Revolver Rabbit 在内的多个威胁行为者用于网络钓鱼、垃圾邮件和恶意软件传播。

例如，据信 Revolver Rabbit 在“.bond”顶级域名 (TLD) 上注册了超过 500,000 个域名，花费约超过 100 万美元，并利用它们作为 XLoader （又名 FormBook）窃取恶意软件的主动和诱饵 C2 服务器。

Infoblox 在最近的分析中指出： “该攻击者使用的最常见 RDGA 模式是一系列由一个或多个字典单词组成的序列，后面跟着一个五位数字，每个单词或数字之间用破折号分隔。有时攻击者会使用 ISO 3166-1 国家代码、完整国家名称或与年份相对应的数字，而不是字典单词。”

与传统的 DGA 相比，RDGA 更难检测和防御，因为它们允许威胁行为者生成许多域名进行注册，以便在其犯罪基础设施中使用（一次性使用或分阶段使用）。

Infoblox 表示：“在 RDGA 中，算法是威胁行为者保密的秘密，他们会注册所有域名。在传统的 DGA 中，恶意软件包含可发现的算法，大多数域名都不会被注册。虽然 DGA 专门用于连接到恶意软件控制器，但 RDGA 可用于各种恶意活动。”

最新发现表明两个网络犯罪实体之间可能存在合作，表明 Play 勒索软件参与者正在采取措施通过 Prolific Puma 的服务绕过安全协议。

Trend Micro 总结道：“ESXi 环境是勒索软件攻击的高价值目标，因为它们在业务运营中发挥着关键作用。同时加密大量虚拟机的效率以及它们所保存的宝贵数据进一步提高了网络犯罪分子的获利能力。”

原文始发于微信公众号（KK安全说）：针对VMware ESXi 的PLAY勒索软件的变种