Des chercheurs en cybers\u00e9curit\u00e9 ont d\u00e9couvert une nouvelle variante Linux d’une souche de ransomware connue sous le nom de Play (alias Balloonfly et PlayCrypt) con\u00e7ue pour cibler les environnements VMware ESXi.<\/p>\n
\u00ab Ce d\u00e9veloppement sugg\u00e8re que le groupe pourrait \u00e9tendre ses attaques \u00e0 la plate-forme Linux, ce qui conduirait \u00e0 un plus grand nombre de victimes et \u00e0 des n\u00e9gociations de ran\u00e7on plus fructueuses \u00bb, ont d\u00e9clar\u00e9 les chercheurs de Trend Micro. dit<\/a> dans un rapport publi\u00e9 vendredi.<\/p>\n Play, qui est apparu sur le march\u00e9 en juin 2022, est connu pour ses tactiques de double extorsion, cryptant les syst\u00e8mes apr\u00e8s avoir exfiltr\u00e9 des donn\u00e9es sensibles et exigeant un paiement en \u00e9change d’une cl\u00e9 de d\u00e9cryptage. Selon les estimations publi\u00e9es par l’Australie et les \u00c9tats-Unis, pas moins de 300 organisations ont \u00e9t\u00e9 victimes du groupe de ransomware en octobre 2023.<\/p>\n Les statistiques partag\u00e9es par Trend Micro pour les sept premiers mois de 2024 montrent que les \u00c9tats-Unis sont le pays qui compte le plus grand nombre de victimes, suivis du Canada, de l’Allemagne, du Royaume-Uni et des Pays-Bas.<\/p>\n La fabrication, les services professionnels, la construction, l’informatique, la vente au d\u00e9tail, les services financiers, les transports, les m\u00e9dias, les services juridiques et l’immobilier sont quelques-uns des principaux secteurs touch\u00e9s par le ransomware Play au cours de cette p\u00e9riode.<\/p>\n L’analyse de la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 sur une variante Linux de Play provient d’un fichier d’archive RAR h\u00e9berg\u00e9 sur une adresse IP (108.61.142[.]190), qui contient \u00e9galement d’autres outils identifi\u00e9s comme utilis\u00e9s dans des attaques pr\u00e9c\u00e9dentes telles que PsExec, NetScan, WinSCP, WinRAR et la porte d\u00e9rob\u00e9e Coroxy.<\/p>\n \u00ab Bien qu’aucune infection r\u00e9elle n’ait \u00e9t\u00e9 observ\u00e9e, le serveur de commande et de contr\u00f4le (C&C) h\u00e9berge les outils courants que le ransomware Play utilise actuellement dans ses attaques \u00bb, a-t-il d\u00e9clar\u00e9. \u00ab Cela pourrait indiquer que la variante Linux pourrait employer des tactiques, techniques et proc\u00e9dures (TTP) similaires. \u00bb<\/p>\n L’\u00e9chantillon de ransomware, lors de son ex\u00e9cution, s’assure qu’il s’ex\u00e9cute dans un environnement ESXi avant de proc\u00e9der au chiffrement des fichiers de la machine virtuelle (VM), y compris les fichiers de disque, de configuration et de m\u00e9tadonn\u00e9es de la VM, et de leur ajouter l’extension \u00ab .PLAY \u00bb. Une note de ran\u00e7on est ensuite d\u00e9pos\u00e9e dans le r\u00e9pertoire racine.<\/p>\n Une analyse plus approfondie a d\u00e9termin\u00e9 que le groupe de ransomware Play utilise probablement les services et l’infrastructure vendus par Prolific Puma, qui propose un service illicite de raccourcissement de liens \u00e0 d’autres cybercriminels pour les aider \u00e0 \u00e9chapper \u00e0 la d\u00e9tection lors de la distribution de logiciels malveillants.<\/p>\n Plus pr\u00e9cis\u00e9ment, il utilise ce qu’on appelle un algorithme de g\u00e9n\u00e9ration de domaine enregistr\u00e9 (RDGA) pour cr\u00e9er de nouveaux noms de domaine, un m\u00e9canisme programmatique de plus en plus utilis\u00e9 par plusieurs acteurs malveillants, notamment VexTrio Viper et Revolver Rabbit, pour le phishing, le spam et la propagation de logiciels malveillants.<\/p>\n Revolver Rabbit, par exemple, aurait enregistr\u00e9 plus de 500 000 domaines sur le domaine de premier niveau (TLD) \u00ab .bond \u00bb pour un co\u00fbt approximatif de plus d’un million de dollars, les utilisant comme serveurs C2 actifs et leurres pour le malware voleur XLoader (alias FormBook).<\/p>\n \u00ab Le mod\u00e8le RDGA le plus courant utilis\u00e9 par cet acteur est une s\u00e9rie d’un ou plusieurs mots du dictionnaire suivis d’un nombre \u00e0 cinq chiffres, chaque mot ou nombre \u00e9tant s\u00e9par\u00e9 par un tiret \u00bb, Infoblox not\u00e9<\/a> dans une analyse r\u00e9cente. \u00ab Parfois, l’acteur utilise des codes de pays ISO 3166-1, des noms de pays complets ou des nombres correspondant \u00e0 des ann\u00e9es au lieu de mots du dictionnaire. \u00bb<\/p>\n Les RDGA sont beaucoup plus difficiles \u00e0 d\u00e9tecter et \u00e0 combattre que les DGA traditionnels, car ils permettent aux acteurs malveillants de g\u00e9n\u00e9rer de nombreux noms de domaine pour les enregistrer afin de les utiliser \u2013 soit tous en m\u00eame temps, soit au fil du temps \u2013 dans leur infrastructure criminelle.<\/p>\n \u00ab Dans un RDGA, l’algorithme est un secret gard\u00e9 par l’acteur malveillant, et il enregistre tous les noms de domaine \u00bb, a d\u00e9clar\u00e9 Infoblox. \u00ab Dans un DGA traditionnel, le malware contient un algorithme qui peut \u00eatre d\u00e9couvert, et la plupart des noms de domaine ne seront pas enregistr\u00e9s. Alors que les DGA sont utilis\u00e9s exclusivement pour la connexion \u00e0 un contr\u00f4leur de malware, les RDGA sont utilis\u00e9s pour un large \u00e9ventail d’activit\u00e9s malveillantes. \u00bb<\/p>\n Les derni\u00e8res d\u00e9couvertes indiquent une collaboration potentielle entre deux entit\u00e9s cybercriminelles, sugg\u00e9rant que les acteurs du ransomware Play prennent des mesures pour contourner les protocoles de s\u00e9curit\u00e9 via les services de Prolific Puma.<\/p>\n \u00ab Les environnements ESXi sont des cibles de choix pour les attaques de ransomware en raison de leur r\u00f4le essentiel dans les op\u00e9rations commerciales \u00bb, conclut Trend Micro. \u00ab L’efficacit\u00e9 du chiffrement simultan\u00e9 de nombreuses machines virtuelles et les pr\u00e9cieuses donn\u00e9es qu’elles contiennent augmentent encore leur potentiel lucratif pour les cybercriminels. \u00bb<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/Nouvelle-variante-Linux-du-ransomware-Play-ciblant-les-systemes-VMWare.png\")
<\/a><\/center><\/section>\n<\/a><\/div>\n