Des chercheurs en cybersécurité ont découvert une nouvelle variante Linux d’une souche de ransomware connue sous le nom de Play (alias Balloonfly et PlayCrypt) conçue pour cibler les environnements VMware ESXi.
« Ce développement suggère que le groupe pourrait étendre ses attaques à la plate-forme Linux, ce qui conduirait à un plus grand nombre de victimes et à des négociations de rançon plus fructueuses », ont déclaré les chercheurs de Trend Micro. dit dans un rapport publié vendredi.
Play, qui est apparu sur le marché en juin 2022, est connu pour ses tactiques de double extorsion, cryptant les systèmes après avoir exfiltré des données sensibles et exigeant un paiement en échange d’une clé de décryptage. Selon les estimations publiées par l’Australie et les États-Unis, pas moins de 300 organisations ont été victimes du groupe de ransomware en octobre 2023.
Les statistiques partagées par Trend Micro pour les sept premiers mois de 2024 montrent que les États-Unis sont le pays qui compte le plus grand nombre de victimes, suivis du Canada, de l’Allemagne, du Royaume-Uni et des Pays-Bas.
La fabrication, les services professionnels, la construction, l’informatique, la vente au détail, les services financiers, les transports, les médias, les services juridiques et l’immobilier sont quelques-uns des principaux secteurs touchés par le ransomware Play au cours de cette période.
L’analyse de la société de cybersécurité sur une variante Linux de Play provient d’un fichier d’archive RAR hébergé sur une adresse IP (108.61.142[.]190), qui contient également d’autres outils identifiés comme utilisés dans des attaques précédentes telles que PsExec, NetScan, WinSCP, WinRAR et la porte dérobée Coroxy.
« Bien qu’aucune infection réelle n’ait été observée, le serveur de commande et de contrôle (C&C) héberge les outils courants que le ransomware Play utilise actuellement dans ses attaques », a-t-il déclaré. « Cela pourrait indiquer que la variante Linux pourrait employer des tactiques, techniques et procédures (TTP) similaires. »
L’échantillon de ransomware, lors de son exécution, s’assure qu’il s’exécute dans un environnement ESXi avant de procéder au chiffrement des fichiers de la machine virtuelle (VM), y compris les fichiers de disque, de configuration et de métadonnées de la VM, et de leur ajouter l’extension « .PLAY ». Une note de rançon est ensuite déposée dans le répertoire racine.
Une analyse plus approfondie a déterminé que le groupe de ransomware Play utilise probablement les services et l’infrastructure vendus par Prolific Puma, qui propose un service illicite de raccourcissement de liens à d’autres cybercriminels pour les aider à échapper à la détection lors de la distribution de logiciels malveillants.
Plus précisément, il utilise ce qu’on appelle un algorithme de génération de domaine enregistré (RDGA) pour créer de nouveaux noms de domaine, un mécanisme programmatique de plus en plus utilisé par plusieurs acteurs malveillants, notamment VexTrio Viper et Revolver Rabbit, pour le phishing, le spam et la propagation de logiciels malveillants.
Revolver Rabbit, par exemple, aurait enregistré plus de 500 000 domaines sur le domaine de premier niveau (TLD) « .bond » pour un coût approximatif de plus d’un million de dollars, les utilisant comme serveurs C2 actifs et leurres pour le malware voleur XLoader (alias FormBook).
« Le modèle RDGA le plus courant utilisé par cet acteur est une série d’un ou plusieurs mots du dictionnaire suivis d’un nombre à cinq chiffres, chaque mot ou nombre étant séparé par un tiret », Infoblox noté dans une analyse récente. « Parfois, l’acteur utilise des codes de pays ISO 3166-1, des noms de pays complets ou des nombres correspondant à des années au lieu de mots du dictionnaire. »
Les RDGA sont beaucoup plus difficiles à détecter et à combattre que les DGA traditionnels, car ils permettent aux acteurs malveillants de générer de nombreux noms de domaine pour les enregistrer afin de les utiliser – soit tous en même temps, soit au fil du temps – dans leur infrastructure criminelle.
« Dans un RDGA, l’algorithme est un secret gardé par l’acteur malveillant, et il enregistre tous les noms de domaine », a déclaré Infoblox. « Dans un DGA traditionnel, le malware contient un algorithme qui peut être découvert, et la plupart des noms de domaine ne seront pas enregistrés. Alors que les DGA sont utilisés exclusivement pour la connexion à un contrôleur de malware, les RDGA sont utilisés pour un large éventail d’activités malveillantes. »
Les dernières découvertes indiquent une collaboration potentielle entre deux entités cybercriminelles, suggérant que les acteurs du ransomware Play prennent des mesures pour contourner les protocoles de sécurité via les services de Prolific Puma.
« Les environnements ESXi sont des cibles de choix pour les attaques de ransomware en raison de leur rôle essentiel dans les opérations commerciales », conclut Trend Micro. « L’efficacité du chiffrement simultané de nombreuses machines virtuelles et les précieuses données qu’elles contiennent augmentent encore leur potentiel lucratif pour les cybercriminels. »