El Ransomware Play es el último grupo en desarrollar un bloqueador específico para Linux, diseñado para cifrar máquinas virtuales VMware ESXi.
Según Trend Micro, que descubrió esta nueva variante, el bloqueador está programado para funcionar solo en entornos ESXi, logrando evadir la detección en sistemas Linux.
Es la primera vez que observamos a Play atacando entornos ESXi
Este avance sugiere que el grupo está ampliando sus ataques en plataformas Linux, lo que podría resultar en más víctimas y negociaciones de rescate exitosas.
La tendencia de atacar máquinas virtuales ESXi ha crecido en los últimos años, ya que las empresas las utilizan para almacenar datos y ejecutar aplicaciones críticas de manera más eficiente.
Desactivar estas máquinas virtuales puede causar graves interrupciones operativas y de servicio, mientras que el cifrado de archivos y copias de seguridad limita las opciones de recuperación para las víctimas.
Durante la investigación del ransomware Play, Trend Micro descubrió que el grupo detrás de este malware está utilizando servicios de acortamiento de URL proporcionados por un actor de amenazas conocido como Prolific Puma.
Una vez desplegado con éxito, el ransomware Play para Linux escaneará y desactivará todas las máquinas virtuales (VM) en el entorno comprometido.
Después, cifrará archivos como los discos de VM, archivos de configuración y metadatos, añadiendo la extensión .PLAY al final de cada uno.
Para desactivar todas las máquinas virtuales VMware ESXi en funcionamiento y prepararlas para el cifrado, Trend Micro revela que el ransomware ejecutará el siguiente código:
/bin/sh -c "for vmid in $(vim-cmd vmsvc/getallvms | grep -v Vmid | awk '{print $1}'); do vim-cmd vmsvc/power.off $vmid; done"
Al analizar esta variante, se descubrió que está específicamente diseñada para atacar el sistema de archivos VMFS (Virtual Machine File System), utilizado por la suite de virtualización de servidores vSphere de VMware.
Además, el ransomware colocará una nota de rescate en el directorio raíz de cada máquina virtual. Esta nota aparecerá en el portal de inicio de sesión del cliente ESXi y en la consola después de reiniciar la máquina virtual.
El ransomware Play apareció en junio de 2022, y las primeras víctimas buscaron ayuda en los foros en Internet.
Los operadores de este ransomware son conocidos por robar documentos confidenciales de los dispositivos comprometidos.
Utilizan esta información en ataques de doble extorsión, presionando a las víctimas a pagar un rescate bajo la amenaza de filtrar los datos robados en línea.
Entre las víctimas de alto perfil del ransomware Play se encuentran la empresa de computación en la nube Rackspace, la ciudad de Oakland en California, el gigante minorista de automóviles Arnold Clark, la ciudad belga de Amberes y el condado de Dallas.
En diciembre, el FBI, junto con CISA y el Centro Australiano de Seguridad Cibernética (ACSC), advirtió que la banda de ransomware había comprometido aproximadamente 300 organizaciones en todo el mundo hasta octubre de 2023.
Las tres agencias gubernamentales aconsejan a los defensores que activen la autenticación multifactor siempre que sea posible, mantengan copias de seguridad fuera de línea, implementen un plan de recuperación y mantengan todo el software actualizado.
