Play ransomware est le dernier gang de ransomwares à commencer à déployer un casier Linux dédié pour crypter les machines virtuelles VMware ESXi.
La société de cybersécurité Trend Micro, dont les analystes ont repéré la nouvelle variante de ransomware, affirme que le casier est conçu pour vérifier d’abord s’il s’exécute dans un environnement ESXi avant de s’exécuter et qu’il peut échapper à la détection sur les systèmes Linux.
« C’est la première fois que nous observons un ransomware Play ciblant les environnements ESXi », a déclaré Trend Micro.
« Ce développement suggère que le groupe pourrait étendre ses attaques sur la plate-forme Linux, conduisant à un bassin de victimes élargi et à des négociations de rançon plus fructueuses. »
C’est une tendance connue depuis des années maintenant, la plupart des groupes de ransomwares se concentrant sur les machines virtuelles ESXi après que les entreprises les ont utilisées pour le stockage de données et l’hébergement d’applications critiques en raison de leur gestion des ressources beaucoup plus efficace.
La désactivation des machines virtuelles ESXi d’une organisation entraînera des interruptions et des pannes majeures des opérations commerciales, tandis que le chiffrement des fichiers et des sauvegardes réduit considérablement les options des victimes pour récupérer les données affectées.
En enquêtant sur cet échantillon de ransomware Play, Trend Micro a également découvert que le gang de ransomwares utilisait les services de raccourcissement d’URL fournis par un acteur de la menace connu sous le nom de Prolific Puma.
Après un lancement réussi, les échantillons Linux de Play ransomware analyseront et éteindront toutes les machines virtuelles trouvées dans l’environnement compromis et commenceront à crypter les fichiers (par exemple, le disque de la machine virtuelle, la configuration et les fichiers de métadonnées), en ajoutant le .Extension de LECTURE à la fin de chaque fichier.
Pour éteindre toutes les machines virtuelles VMware ESXi en cours d’exécution afin qu’elles puissent être chiffrées, Trend Micro indique que le chiffreur exécutera le code suivant:
/bin/sh -c "for vmid in $(vim-cmd vmsvc/getallvms | grep -v Vmid | awk '{print $1}'); do vim-cmd vmsvc/power.off $vmid; done"Comme l’a constaté Breachtrace lors de son analyse, cette variante est conçue pour cibler spécifiquement VMFS (Virtual Machine File System), qui est utilisé par la suite de virtualisation vSphere Server de VMware.
Il déposera également une note de rançon dans le répertoire racine de la machine virtuelle, qui sera affichée dans le portail de connexion du client ESXi (et la console après le redémarrage de la machine virtuelle).
Le ransomware Play a fait surface en juin 2022, les premières victimes demandant de l’aide sur les forums Breachtrace.
Ses opérateurs sont connus pour voler des documents sensibles sur des appareils compromis, qu’ils utilisent dans des attaques de double extorsion pour faire pression sur les victimes pour qu’elles paient une rançon sous la menace de divulguer les données volées en ligne.
Parmi les victimes très médiatisées du ransomware Play figurent la société d’informatique en nuage Rackspace, la ville d’Oakland en Californie, le géant de la distribution automobile Arnold Clark, la ville belge d’Anvers et le comté de Dallas.
En décembre, le FBI a averti dans un avis conjoint avec la CISA et l’Australian Cyber Security Center (ACSC) que le gang de ransomwares avait violé environ 300 organisations dans le monde jusqu’en octobre 2023.
Les trois agences gouvernementales ont conseillé aux défenseurs d’activer l’authentification multifacteur dans la mesure du possible, de maintenir des sauvegardes hors ligne, de mettre en œuvre un plan de récupération et de maintenir tous les logiciels à jour.