Los investigadores de ciberseguridad han descubierto una variante de ransomware para Linux, conocida como Play (también llamada Balloonfly y PlayCrypt), diseñada para atacar entornos VMware ESXi.
Según Trend Micro, este hallazgo sugiere que el grupo podría estar ampliando sus ataques a la plataforma Linux, lo que aumentaría la cantidad de víctimas y las posibles negociaciones de rescate exitosas.
El ransomware Play, conocido por sus tácticas de doble extorsión, ha afectado hasta 300 organizaciones en Australia y Estados Unidos hasta octubre de 2023.
Estadísticas compartidas por Trend Micro revelan que Estados Unidos es el país con el mayor número de víctimas, seguido por Canadá, Alemania, Reino Unido y los Países Bajos.
Durante los primeros siete meses de 2024, Play ha impactado diversas industrias, como manufactura, servicios profesionales, construcción, TI, comercio minorista, servicios financieros, transporte, medios, servicios legales y bienes raíces.
El análisis realizado por la firma de ciberseguridad identificó una variante de Play para Linux en un archivo RAR alojado en la dirección IP 108.61.142[.]190. Este archivo también contiene otras herramientas utilizadas en ataques anteriores, como PsExec, NetScan, WinSCP, WinRAR y la puerta trasera Coroxy.
La muestra de ransomware ejecuta un proceso de verificación para asegurarse de que se esté ejecutando en un entorno ESXi antes de encriptar archivos de máquinas virtuales (VM). Luego, deja una nota de rescate en el directorio raíz.
Se cree que el grupo de ransomware Play esté utilizando los servicios e infraestructura del proveedor ilícito de acortamiento de enlaces, Prolific Puma, para distribuir malware de forma sigilosa.
Una investigación reciente también revela una posible colaboración entre grupos cibercriminales, indicando que los actores de ransomware Play están evitando los protocolos de seguridad a través de los servicios de Prolific Puma.
Los entornos ESXi son objetivos de alto valor para los ataques de ransomware debido a su papel crítico en las operaciones comerciales, lo que hace que sean atractivos para los ciberdelincuentes.
Vía The Hacker News
