Peneliti keamanan siber telah menemukan varian baru dari ransomware yang dikenal sebagai Play (juga dikenal sebagai Balloonfly dan PlayCrypt) yang dirancang untuk menargetkan lingkungan VMware ESXi.
"Perkembangan ini menunjukkan bahwa kelompok ini mungkin sedang memperluas serangannya ke platform Linux, yang mengarah pada peningkatan jumlah korban dan negosiasi tebusan yang lebih sukses," kata peneliti dari Trend Micro dalam laporan yang diterbitkan Jumat lalu.
Play, yang muncul pertama kali pada Juni 2022, dikenal dengan taktik pemerasan ganda, yang mengenkripsi sistem setelah mengeluarkan data sensitif dan menuntut pembayaran sebagai imbalan untuk kunci dekripsi. Menurut estimasi yang dirilis oleh Australia dan AS, hingga 300 organisasi telah menjadi korban kelompok ransomware ini pada Oktober 2023.
Statistik yang dibagikan oleh Trend Micro untuk tujuh bulan pertama tahun 2024 menunjukkan bahwa AS adalah negara dengan jumlah korban tertinggi, diikuti oleh Kanada, Jerman, Inggris, dan Belanda.
Industri-industri utama yang terkena dampak ransomware Play selama periode waktu tersebut meliputi manufaktur, layanan profesional, konstruksi, TI, ritel, layanan keuangan, transportasi, media, layanan hukum, dan real estat.
Analisis perusahaan keamanan siber terhadap varian Linux dari Play berasal dari file arsip RAR yang dihosting di alamat IP (108.61.142[.]190), yang juga berisi alat-alat lain yang diidentifikasi digunakan dalam serangan sebelumnya seperti PsExec, NetScan, WinSCP, WinRAR, dan backdoor Coroxy.
"Meskipun belum ada infeksi yang sebenarnya terdeteksi, server perintah dan kontrol (C&C) menyimpan alat-alat umum yang saat ini digunakan oleh ransomware Play dalam serangannya," kata laporan tersebut. "Ini bisa menunjukkan bahwa varian Linux mungkin menggunakan taktik, teknik, dan prosedur (TTP) yang serupa."
Contoh ransomware, setelah dijalankan, memastikan bahwa ia beroperasi dalam lingkungan ESXi sebelum melanjutkan untuk mengenkripsi file mesin virtual (VM), termasuk file disk VM, konfigurasi, dan metadata, dan menambahkan ekstensi ".PLAY." Sebuah catatan tebusan kemudian dijatuhkan di direktori root.
Analisis lebih lanjut menunjukkan bahwa kelompok ransomware Play kemungkinan menggunakan layanan dan infrastruktur yang ditawarkan oleh Prolific Puma, yang menyediakan layanan pemendekan tautan ilegal kepada pelaku kejahatan siber lain untuk membantu mereka menghindari deteksi saat mendistribusikan malware.
Source: https://thehackernews.com/2024/07/new-linux-variant-of-play-ransomware.html
Source: https://thehackernews.com/2024/07/new-linux-variant-of-play-ransomware.html