31 Июля 2024 08:31 31 Июл 2024 08:31 |

Поделиться

Известная группировка хакеров-вымогателей атакует системы VMware, благодаря сотрудничеству с другой кибербандой

Новая мишень киберпреступников

Эксперты компании Trend Micro выявили новую версию шифровальщика Play (он же Balloonfly и PlayCrypt), на этот раз нацеленную на среды VMware ESXi. Play подозревают в использовании услуг и инфраструктуры группировки Prolific Puma, снабжающей киберпреcтупников средствами сокращения ссылок для обхода средств обнаружения.

Play впервые был выявлен в 2022 г. Группировка, стоящая за ним, использует ставшую уже типичной тактику двойного вымогательства: помимо шифрования, злоумышленники крадут значимые данные из корпоративной инфраструктуры, после чего требуют выкуп и за ключи дешифровки, и за сохранение конфиденциальности похищенной информации.

К октябрю 2023 г. в Австралии и США насчитывалось не менее 300 организаций, пострадавших от деятельности этой банды. Количество жертв продолжает расти. Чаще всего атакам подвергаются организации в США, за ними следуют Канада, Германия, Великобритания и Нидерланды.

Что касается отраслевой принадлежности, то это производство, профессиональные услуги, строительство, ИТ, ритейл, финансовые услуги, транспорт, СМИ, юридические компании и риэлторские организации.

Linux-вариант Play атакующий гипервизоры VMware, распространяется с архивом RAR, который, как выяснили эксперты, размещается по IP-адресу 108.61.142.19 (принадлежит американскому облачному провайдеру Constant). На этом же ресурсе размещаются инструменты, использовавшиеся в других атаках Play, в том числе легитимные утилиты PsExec, NetScan, WinSCP, WinRAR и бэкдор Coroxy.

Эксперты полагают, что это контрольный сервер вредоноса.

Проникнув на целевой ресурс, шифровальщик проверяет, находится ли он в среде ESXi, и если это так, то он начинает шифровать содержимое виртуальных машин, включая их диски, настроечные файлы и файлы метаданных. Ко всем добавляется расширение .PLAY. В корневой каталог сохраняется файл с требованием выкупа.

Братья по криминалу

Помимо этого, эксперты Trend Micro подозревают, что Play использует услуги и инфраструктуру группировки Prolific Puma, которая снабжает киберзлоумышленников средствами сокращения ссылок для обхода средств обнаружения и, в частности, алгоритм генерации новых доменных имен. В использовании этих сервисов замечены, в частности, группировки VexTrio Viper и Revolver Rabbit, специализирующиеся на фишинге, спаме и распространении вредоносов.

Revolver Rabbit, например, зарегистрировал порядка 500 тыс. доменов в зоне .bond (общая стоимость – около $1 млн), используя их в качестве контрольных и маскировочных серверов для инфостилера XLoader.

О существовании Prolific Puma стало известно осенью 2023 г., и эту группировку сразу же обозначили как важного инфраструктурного игрока в киберкриминальном мире, которые зарегистрировал к тому времени десятки тыс. доменов для различных злоумышленников.

«Вероятнее всего, информации о сотрудничестве тех или иных группировок с Prolific Puma будет все больше, – полагает Михаил Зайцев, эксперт по информационной безопасности компании SEQ. – В течение какого-то времени этот игрок оставался в тени, но сохранил активность и после обнаружения, что означает, что он уже достаточно закрепился в своей нише, и не испытывает проблем с клиентурой, поскольку предлагает очень удобный инструмент для обхода защитных блокировок. В такой услуге злоумышленники будут заинтересованы всегда. Что касается ESXi, то все большее количество шифровальщиков пытаются атаковать именно виртуализированные среды, поскольку они зачастую играют критическую роль в бизнесе. Заблокировав виртуальные машины, злоумышленники получают колоссальные козыри для вымогательской деятельности».

Роман Георгиев

Поделиться

Подписаться на новости Короткая ссылка