پژوهشگران امنیت سایبری نسخه جدیدی از باجافزار Play که به نامهای Balloonfly و PlayCrypt نیز شناخته میشود را کشف کردهاند که برای هدف قرار دادن سیستمهای لینوکس و به طور خاص محیطهای VMware ESXi طراحی شده است. VMware ESXiیک هایپروايزور (مجازیساز) است که برای مدیریت ماشینهای مجازی و زیرساختهای IT استفاده میشود. این نسخه جدید از باجافزار Play ممکن است نشانهای از گسترش حملات این گروه به پلتفرمهای لینوکس باشد و این گسترش به این معنی است که مهاجم میتواند دایره قربانیان خود را افزایش دهد.
باجافزار Play از ژوئن 2022 به عرصه سایبری معرفی شد. این باجافزار برای فریب و تحت فشار قرار دادن قربانیان از روشهای دوگانه Double Extortion استفاده میکند. به این صورت که ابتدا دادههای حساس را استخراج کرده و سپس سیستمهای آسیبدیده را رمزگذاری میکند و در آخر برای دریافت کلید رمزگشایی، از قربانیان درخواست پرداخت باج میکند و آنها را تهدید میکند که در صورت عدم پرداخت، اطلاعات سرقت شده را فاش خواهند کرد!
نمونه باجافزار Play هنگامی که اجرا میشود، ابتدا بررسی میکند که آیا در محیط ESXiدر حال اجرا هست یا خیر. اگر بود شروع به رمزگذاری فایلهای ماشینهای مجازی که شامل دیسکهای ماشین مجازی، فایلهای پیکربندی و فایلهای متاداده هست میکند. پس از رمزگذاری، این فایلها را با افزونه .PLAY ذخیره میکند و در نهایت، یک یادداشت باجگیری در دایرکتوری ریشه (root directory) سیستم قربانی قرار میدهد.
محصولات تحت تأثیر
- محیطهای VMware ESXi
توصیههای امنیتی
- برای اطمینان از امنیت محیطهای ESXi تنظیمات امنیتی، پیکربندی مناسب و بستن پورتهایی که نیاز به استفاده از آن نیست حایز اهمیت است.
- نظارت مستمر بر ترافیک شبکه و فعالیتهای غیرعادی
- محدود کردن دسترسی ها و جداسازی شبکههای حساس و سرورها و سیستمهای حیاتی
- آگاهیرسانی به کارکنان دربارهی فیشینگ و نحوهی تشخیص ایمیلها و لینکهای مشکوک میتواند میزان نفوذ باجافزار را کاهش دهد.
- به دلیل هدف قرار دادن محیطهای VMware ESXi پشتیبانگیری منظم و امن از ماشینهای مجازی اهمیت زیادی دارد.
منبع خبر:
https://thehackernews.com/2024/07/new-linux-variant-of-play-ransomware.html?m=1
- 184