Play fidye yazılımının yeni bir Linux versiyonu, sanal makine dosyalarını şifreleyen ve tespit edilmeyi atlatmak için karartma tekniklerinden yararlanarak “.PLAY” uzantısını ekleyen ve bir RAR arşivinde Windows versiyonuyla sıkıştırılan VMware ESXi ortamlarını hedef alıyor.
Komuta ve kontrol sunucusunda Play fidye yazılımıyla ilişkili ortak araçların varlığına dayanarak Windows sürümüyle benzer taktikler kullanıyor; bu da Play fidye yazılımı grubunun saldırılarını Linux ortamlarına doğru genişlettiğini ve potansiyel olarak operasyonlarının etkisini artırdığını gösteriyor.
İlk enfeksiyon aşamasında, ESXi’ye özgü komutların (vim-cmd ve esxcli) varlığını arayarak ortamı doğrular ve komutlar bulunursa, fidye yazılımı kötü amaçlı rutinine devam eder.
Join our free webinar to learn about combating slow DDoS attacks, a major threat today.
İlk olarak, veri erişimini veya değişikliğini engellemek için çalışan tüm sanal makineleri devre dışı bırakır. Ardından, ESXi ana bilgisayarında özel bir karşılama mesajı ayarlar ve potansiyel olarak saldırının kurbanlarını uyarır.
Fidye yazılımı, diskler, yapılandırma dosyaları ve meta veri dosyaları dahil olmak üzere kritik VM dosyalarını şifreleyerek bunlara erişilemez hale getirir. Play fidye yazılımının bunları enfekte ettiğini belirtmek için şifrelenmiş dosyalara “.PLAY” uzantısı eklenir.
Tehlikeye atılan sistemin kök dizinine bir fidye notu bırakılır ve aynı not hem ESXi oturum açma portalında hem de konsolda görüntülenir; bu da, saldırıya uğramış ESXi sistemine erişmek için kullanılan yöntem ne olursa olsun, kurbanın fidye notuyla karşılaşacağından emin olunmasını sağlar.
Play fidye yazılımı saldırısının analizi, Kayıtlı Alan Adı Oluşturma Algoritması (RDGA) tarafından oluşturulan alan adlarını kullanarak bağlantı kısaltma hizmetleri sunmasıyla bilinen bir tehdit aktörü olan Prolific Puma ile bir bağlantı olduğunu ortaya koydu.
Fidye yazılımı yükü ve diğer araçlar, Porkbun, LLC ve NameCheap, Inc. tarafından kaydedilen birden fazla RDGA etki alanına çözümlenen ve saldırganın kimliğini daha da gizleyen birkaç IP adresine sahip bir sunucuda barındırılıyordu.
Prolific Puma, tipik kısa ve rastgele adlarını kullanarak Play fidye yazılımı IP adresine çözümlenen alan adlarını kaydetti ve bu alan adlarında görünen mesaj, Prolific Puma’nın altyapısında görülen mesajla eşleşti.
Play fidye yazılımının kullandığı Coroxy arka kapısı, Prolific Puma tarafından kayıtlı birden fazla etki alanına çözümlenen bir IP adresine bağlanarak Prolific Puma bağlantılı etki alanlarına da çözümlenen başka bir IP adresine bağlandı.
Trend Micro tarafından yapılan detaylı incelemede bu IP’nin Prolific Puma’ya bağlı başka bir IP ile aynı otonom sisteme (ASN) ait olduğu ortaya çıktı; bu da aynı ağ sağlayıcısını paylaştıklarını gösteriyor.
Altyapıdaki örtüşme, Play fidye yazılımı ile Prolific Puma arasında olası bir iş birliğine işaret ederken, Play fidye yazılımının Prolific Puma’nın hizmetlerini kullanarak güvenlik önlemlerini aşma yeteneğini artırmaya çalışıyor olabileceği belirtiliyor.
AI Destekli Güvenlik ile İş E-postalarınızı Sahtecilik, Kimlik Avı ve BEC’den Koruyun | Ücretsiz Demo