Pesquisadores de segurança cibernética descobriram uma nova variante do ransomware Play, conhecida como Balloonfly ou PlayCrypt, projetada para atacar ambientes VMware ESXi. Segundo um relatório da Trend Micro, este desenvolvimento sugere que o grupo pode estar ampliando seus ataques na plataforma Linux, resultando em um aumento do número de vítimas e em negociações de resgate mais bem-sucedidas.

O ransomware Play, que surgiu em junho de 2022, é conhecido por suas táticas de dupla extorsão, criptografando sistemas após exfiltrar dados sensíveis e exigindo pagamento em troca de uma chave de descriptografia. Estima-se que até outubro de 2023, cerca de 300 organizações foram vítimas desse grupo de ransomware, conforme dados da Austrália e dos EUA.

De acordo com estatísticas da Trend Micro para os primeiros sete meses de 2024, os EUA são o país com o maior número de vítimas, seguidos por Canadá, Alemanha, Reino Unido e Países Baixos. As indústrias mais afetadas incluem manufatura, serviços profissionais, construção, TI, varejo, serviços financeiros, transporte, mídia, serviços jurídicos e imobiliário. A análise da Trend Micro de uma variante Linux do Play vem de um arquivo RAR hospedado em um endereço IP (108.61.142[.]190), que também contém outras ferramentas usadas em ataques anteriores, como PsExec, NetScan, WinSCP, WinRAR e o backdoor Coroxy.

Embora nenhuma infecção real tenha sido observada, o servidor de comando e controle (C&C) hospeda as ferramentas comuns usadas pelo ransomware Play em seus ataques, sugerindo que a variante Linux pode empregar táticas, técnicas e procedimentos semelhantes. O ransomware, ao ser executado, verifica se está em um ambiente ESXi antes de criptografar arquivos de máquinas virtuais (VM), incluindo discos, configurações e metadados, adicionando a extensão ".PLAY". Uma nota de resgate é então deixada no diretório raiz.

Análises adicionais indicam que o grupo Play está provavelmente utilizando os serviços e infraestrutura da Prolific Puma, que oferece um serviço ilícito de encurtamento de links para ajudar outros cibercriminosos a evitar detecção ao distribuir malware. A Play usa um algoritmo de geração de domínios registrados (RDGA) para criar novos nomes de domínio, um mecanismo cada vez mais utilizado por atores de ameaça para phishing, spam e propagação de malware. O RDGA permite que atores de ameaça gerem muitos nomes de domínio e os registrem para uso em sua infraestrutura criminosa.

As descobertas sugerem uma possível colaboração entre duas entidades cibercriminosas, indicando que os atores do ransomware Play estão adotando medidas para contornar protocolos de segurança por meio dos serviços da Prolific Puma. Ambientes ESXi são alvos valiosos para ataques de ransomware devido ao seu papel crítico nas operações empresariais. A eficiência de criptografar várias VMs simultaneamente e os dados valiosos que elas contêm tornam esses ambientes ainda mais lucrativos para os cibercriminosos.

Com informações The Hacker News

Este post foi traduzido e resumido a partir de sua versão original com o uso do ChatGPT versão 4, com revisão humana.