{"id":1286418,"date":"2024-07-22T06:20:16","date_gmt":"2024-07-22T06:20:16","guid":{"rendered":"https:\/\/teknomers.com\/es\/nueva-variante-de-linux-del-ransomware-play-que-ataca-los-sistemas-vmware-esxi\/"},"modified":"2024-07-22T06:20:20","modified_gmt":"2024-07-22T06:20:20","slug":"nueva-variante-de-linux-del-ransomware-play-que-ataca-los-sistemas-vmware-esxi","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/nueva-variante-de-linux-del-ransomware-play-que-ataca-los-sistemas-vmware-esxi\/","title":{"rendered":"Nueva variante de Linux del ransomware Play que ataca los sistemas VMware ESXi"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/07\/Nueva-variante-de-Linux-del-ransomware-Play-que-ataca-los.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Los investigadores de ciberseguridad han descubierto una nueva variante para Linux de una cepa de ransomware conocida como Play (tambi\u00e9n conocida como Balloonfly y PlayCrypt) que est\u00e1 dise\u00f1ada para atacar entornos VMware ESXi.<\/p>\n<p>&#8220;Este desarrollo sugiere que el grupo podr\u00eda estar ampliando sus ataques a trav\u00e9s de la plataforma Linux, lo que llevar\u00eda a un grupo de v\u00edctimas m\u00e1s amplio y negociaciones de rescate m\u00e1s exitosas&#8221;, dijeron los investigadores de Trend Micro. <a rel=\"nofollow noopener\" href=\"https:\/\/www.trendmicro.com\/en_us\/research\/24\/g\/new-play-ransomware-linux-variant-targets-esxi-shows-ties-with-p.html\" target=\"_blank\">dicho<\/a> en un informe publicado el viernes.<\/p>\n<p>Play, que lleg\u00f3 a la escena en junio de 2022, es conocido por sus t\u00e1cticas de doble extorsi\u00f3n, encriptando sistemas despu\u00e9s de exfiltrar datos confidenciales y exigiendo un pago a cambio de una clave de descifrado. Seg\u00fan estimaciones publicadas por Australia y Estados Unidos, hasta octubre de 2023, el grupo de ransomware hab\u00eda atacado a unas 300 organizaciones.<\/p>\n<p>Las estad\u00edsticas compartidas por Trend Micro para los primeros siete meses de 2024 muestran que Estados Unidos es el pa\u00eds con el mayor n\u00famero de v\u00edctimas, seguido de Canad\u00e1, Alemania, el Reino Unido y los Pa\u00edses Bajos.<\/p>\n<section class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/intel-inside-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/07\/1721629215_517_Nueva-variante-de-Linux-del-ransomware-Play-que-ataca-los.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/section>\n<p>La fabricaci\u00f3n, los servicios profesionales, la construcci\u00f3n, la TI, el comercio minorista, los servicios financieros, el transporte, los medios de comunicaci\u00f3n, los servicios legales y el sector inmobiliario son algunas de las principales industrias afectadas por el ransomware Play durante este per\u00edodo.<\/p>\n<p>El an\u00e1lisis de la firma de ciberseguridad de una variante de Linux de Play proviene de un archivo RAR alojado en una direcci\u00f3n IP (108.61.142[.]190), que tambi\u00e9n contiene otras herramientas identificadas como utilizadas en ataques anteriores, como PsExec, NetScan, WinSCP, WinRAR y la puerta trasera Coroxy.<\/p>\n<p>&#8220;Aunque no se ha observado ninguna infecci\u00f3n real, el servidor de comando y control (C&#038;C) aloja las herramientas comunes que el ransomware Play utiliza actualmente en sus ataques&#8221;, afirm\u00f3. &#8220;Esto podr\u00eda indicar que la variante Linux podr\u00eda emplear t\u00e1cticas, t\u00e9cnicas y procedimientos (TTP) similares&#8221;.<\/p>\n<p>Al ejecutarse, la muestra de ransomware se asegura de que se est\u00e9 ejecutando en un entorno ESXi antes de proceder a cifrar los archivos de la m\u00e1quina virtual (VM), incluidos los archivos de disco, configuraci\u00f3n y metadatos de la VM, y agregarles la extensi\u00f3n &#8220;.PLAY&#8221;. Luego, se coloca una nota de rescate en el directorio ra\u00edz.<\/p>\n<p>Un an\u00e1lisis m\u00e1s detallado ha determinado que es probable que el grupo de ransomware Play est\u00e9 utilizando los servicios y la infraestructura ofrecidos por Prolific Puma, que ofrece un servicio il\u00edcito de acortamiento de enlaces a otros ciberdelincuentes para ayudarlos a evadir la detecci\u00f3n mientras distribuye malware.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/07\/1721629216_185_Nueva-variante-de-Linux-del-ransomware-Play-que-ataca-los.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/07\/1721629216_185_Nueva-variante-de-Linux-del-ransomware-Play-que-ataca-los.png\" alt=\"RDGA\" border=\"0\" data-original-height=\"325\" data-original-width=\"728\" title=\"RDGA\"\/><\/a><\/div>\n<p>En concreto, emplea lo que se denomina un algoritmo de generaci\u00f3n de dominios registrados (RDGA) para generar nuevos nombres de dominio, un mecanismo program\u00e1tico que cada vez utilizan m\u00e1s varios actores de amenazas, incluidos VexTrio Viper y Revolver Rabbit, para la propagaci\u00f3n de phishing, spam y malware.<\/p>\n<p>Se cree, por ejemplo, que Revolver Rabbit registr\u00f3 m\u00e1s de 500.000 dominios en el dominio de nivel superior (TLD) &#8220;.bond&#8221; a un costo aproximado de m\u00e1s de un mill\u00f3n de d\u00f3lares, utiliz\u00e1ndolos como servidores C2 activos y se\u00f1uelo para el malware ladr\u00f3n XLoader (tambi\u00e9n conocido como FormBook).<\/p>\n<p>&#8220;El patr\u00f3n RDGA m\u00e1s com\u00fan que utiliza este actor es una serie de una o m\u00e1s palabras del diccionario seguidas de un n\u00famero de cinco d\u00edgitos, con cada palabra o n\u00famero separado por un gui\u00f3n&#8221;, Infoblox <a rel=\"nofollow noopener\" href=\"https:\/\/blogs.infoblox.com\/threat-intelligence\/rdgas-the-next-chapter-in-domain-generation-algorithms\/\" target=\"_blank\">anotado<\/a> En un an\u00e1lisis reciente, se afirma que &#8220;en ocasiones, el actor utiliza c\u00f3digos de pa\u00eds ISO 3166-1, nombres completos de pa\u00edses o n\u00fameros correspondientes a a\u00f1os en lugar de palabras del diccionario&#8221;.<\/p>\n<p>Los RDGA son mucho m\u00e1s dif\u00edciles de detectar y defender que los DGA tradicionales debido al hecho de que permiten a los actores de amenazas generar muchos nombres de dominio para registrarlos para su uso, ya sea todos a la vez o con el tiempo, en su infraestructura criminal.<\/p>\n<p>&#8220;En un RDGA, el algoritmo es un secreto que guarda el actor de la amenaza y que registra todos los nombres de dominio&#8221;, dijo Infoblox. &#8220;En un DGA tradicional, el malware contiene un algoritmo que se puede descubrir y la mayor\u00eda de los nombres de dominio no se registrar\u00e1n. Mientras que los DGA se utilizan exclusivamente para la conexi\u00f3n a un controlador de malware, los RDGA se utilizan para una amplia gama de actividades maliciosas&#8221;.<\/p>\n<p>Los \u00faltimos hallazgos indican una posible colaboraci\u00f3n entre dos entidades cibercriminales, lo que sugiere que los actores del ransomware Play est\u00e1n tomando medidas para eludir los protocolos de seguridad a trav\u00e9s de los servicios de Prolific Puma.<\/p>\n<p>&#8220;Los entornos ESXi son objetivos de alto valor para los ataques de ransomware debido a su papel fundamental en las operaciones comerciales&#8221;, concluy\u00f3 Trend Micro. &#8220;La eficiencia de cifrar varias m\u00e1quinas virtuales simult\u00e1neamente y los datos valiosos que contienen aumentan a\u00fan m\u00e1s su rentabilidad para los cibercriminales&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfTe ha parecido interesante este art\u00edculo? S\u00edguenos en <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/07\/new-linux-variant-of-play-ransomware.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Los investigadores de ciberseguridad han descubierto una nueva variante para Linux de una cepa de ransomware conocida como<\/p>\n","protected":false},"author":1,"featured_media":1286419,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4397,4661,4664,38,91758,4662,4668,4667,18038,36,239182,4654,239508,4658,4659,4653,212,8667,4883,4666,4665,5527,25649,34470,239484],"class_list":["post-1286418","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataca","tag-ataques-ciberneticos","tag-como-hackear","tag-del","tag-esxi","tag-filtracion-de-datos","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-linux","tag-los","tag-malware-ransomware","tag-noticias-ciberneticas","tag-noticias-de-ciberseguridad-hoy","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-nueva","tag-play","tag-ransomware","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-sistemas","tag-variante","tag-vmware","tag-vulnerabilidad-del-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1286418","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1286418"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1286418\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1286419"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1286418"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1286418"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1286418"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}