Play Ransomware SE EXPANDE.
Recientemente se descubrió una nueva variante de Linux del Infame Play Ransomware, también conocido como Ballonfly y PlayCrypt. Esta variante apunto a entornos VMWare ESXi, lo que indica un cambio estratégico por parte de los atacantes involucrados.
¿Cuál es la amenaza?
Dos grupos de ciberdelincuentes, Play Ransomware y Prolific Puma, estan potencialmente colaborando para atacar entornos VMWare ESXi e implementar ataques de Ransomware se origino a partir de un archivo RAR alojado en una dirección IP. Este archivo también contiene herramientas adicionales PSExce, NetScan, WinSCP, WinRAR y un backdoor de Coroxy, que se han utilizado en ataques anteriores. El servidor de comando y control (C&C) alberga las herramientas que Play Ransomware utiliza actualmente en sus operaciones, aunque aun no se han observado infecciones reales.
Antes de implementar un ataque, la variante de Ransomware primero verifica que esté funcionando en un entorno ESXi antes de cifrar archivos de máquinas virtuales (VM), como archivos de disco, configuración y metadatos de VM, agregándoles el sufijo “.PLAY”. luego coloca una nota de rescate en el directorio raíz.
Luego, el ataque utilizara un mecanismo conocido como algoritmo de generación de dominio registrado (RDGA) para crea nuevos nombres de dominio. Los actores de amenazas como Revolver Rabbit y VexTrio Viper utilizan cada vez mas este mecanismo para propagar Malware, Spam y ataques de Phishing. El patrón RDGA preferido de Revolver Rabbit consiste en una cadena de uno o más términos de diccionario seguidos de un numero de cinco dígitos, con un guion entre cada palabra y número. Ocasionalmente, el atacante utiliza códigos de país ISO-3166-1, nombres completos de países o números específicos de un año en lugar de términos del diccionario. Los RDGA permiten a los atacantes generar y registrar múltiples nombres de dominio para usarlos en su infraestructura criminal, lo que los hace mucho más difíciles de detectar y combatir que los DGA estándar.
Es un RDGA, el atacante registra cada nombre de dominio y mantiene el algoritmo en secreto. Por el contrario, una DGA convencional suele tener muchos nombres de dominio no registrados y su algoritmo puede descubrirse. Si bien los DGA se utilizan principalmente para conectarse a un controlador de Malware, los RDGA se pueden utilizar para diversas actividades maliciosas.
¿Por qué es de relevancia?
Los entornos VMWare ESXi desempeñan un pape integral en las operaciones comerciales y albergan datos de alto valor. Además, el hecho de que se haya encontrado una versión de Linux sugiere que el grupo de Ransomware esta ampliando sus ataques para incluir la plataforma Linux. Esto podría potencialmente aumentar el numero de victimas y mejorar las posibilidades de éxito en las negociaciones de rescate. Play es un conocido por sus tácticas de doble extorsión. Desde su debut en junio de 2022, el grupo ha cifrado sistemas después de acceder a información privada, exigiendo el pago por la clave de descifrado. En octubre del 2023, informes de EE. UU. Y Australia indican que hasta 200 empresas se han visto afectadas por este grupo de Ransomware.
Las investigaciones muestran que EUA tuvo el mayor número de víctimas de Ransomware durante los primeros siete meses de 2024, seguido de Canadá, Alemania, Gran Bretaña y los Países Bajos. Los principales sectores se han visto afectaros por Play Ransomware durante este periodo, incluidos la fabricación, los servicios profesionales, la construcción, la TI, el comercio minorista, los servicios financieros, los medios de comunicación, los servicios legales y el sector inmobiliario.
¿Cuál es el riesgo?
Las empresas utilizan los entornos VMWare ESXi para ejecutar varias maquinas virtuales (VM). Las empresas alojan aplicaciones y datos críticos, así como soluciones de respaldo integradas. Al comprometer ESXis, los actores de amenazas pueden interrumpir las operaciones comerciales y cifrar sus copias de seguridad, lo que dificulta que las empresas se recuperen del ataque sin pagar el rescate.
Recomendaciones
Algunas de las siguientes medidas pueden reducir el riesgo de su empresa ante esta nueva variante de Ransomware:
- Bloquee todos los indicadores de amenazas conocidos en los controles de seguridad.
- Búsqueda de indicadores de compromiso (IOC) dentro del entorno.
- Utilice soluciones de protección de terminales actualizas y de buena reputación que incluyan antimalware, sistemas de detección/prevención de intrusiones y mecanismos de detección basados en el comportamiento.
- Implementar políticas de contraseñas solidas y considerar la implementación de una Autenticación Multifactor (MFA) para mejorar la seguridad del acceso.
- Implemente una estrategia de respaldo solida con respaldos periódicos y automatizados de datos críticos. Almacene estas copias de seguridad (Backup) de forma segura fuera de línea o en un entorno aislado para evitar el cifrado por Ransomware.
- Utilice medidas de cifrado solidas para los datos confidenciales protegiendo el acceso no autorizado. Emplear técnicas de segmentación de datos para aislar sistemas y datos críticos de áreas menos seguras.
- Establezca procesos de monitoreo continuo y realice evaluaciones de seguridad periódicas para identifica y abordar amenazas o vulnerabilidades, así como mejorar las medidas de seguridad basándose en lecciones aprendidas de incidentes.
Acércate a nosotros para brindarte más información de nuestro programa de canales:
- Sitio web: www.pccommayorista.com
- Registro de canales: https://www.pccommayorista.com/Socio-censornet-suite.aspx
- Teléfono: +52 (55) 5599.0670
- Correo de contacto: contacto@pccommayorista.com
JR