Cảnh báo biến thể mới ransomware linux nhắm vào môi trường VMware ESXi

Một biến thể Linux mới của Ransomware Play, được biết đến với các tên gọi Balloonfly và PlayCrypt, đang nhắm mục tiêu vào môi trường VMware ESXi. Được xuất hiện từ tháng 6 năm 2022, ransomware này sử dụng chiến thuật tống tiền kép, mã hóa dữ liệu sau khi đánh cắp thông tin nhạy cảm để yêu cầu khoản tiền chuộc.

Phân tích cho thấy phiên bản Play dành cho Linux được xác định từ một tệp lưu trữ RAR được lưu trữ trên một địa chỉ IP cụ thể, chứa nhiều công cụ tấn công đã được sử dụng trong các vụ tấn công trước đó. Điều này cho thấy khả năng biến thể này có thể sử dụng các kỹ thuật giống hệt nhau trong các cuộc tấn công.

Khi được thực thi, ransomware sẽ kiểm tra môi trường ESXi trước khi mã hóa các tệp máy ảo, đồng thời thêm phần mở rộng “.PLAY” vào các tệp đĩa và cấu hình. Sau đó, một ghi chú yêu cầu tiền chuộc sẽ được đặt trong thư mục gốc.

Phát hiện mới nhất chỉ ra rằng nhóm Play đang tận dụng cơ sở hạ tầng của Prolific Puma để làm nền tảng cho các hoạt động độc hại, sử dụng thuật toán tạo tên miền đã đăng ký (RDGA) để tạo ra nhiều tên miền mới, gây khó khăn cho việc phát hiện và ngăn chặn.

Môi trường ESXi là mục tiêu có giá trị cao cho các cuộc tấn công ransomware do vai trò quan trọng của chúng trong hoạt động kinh doanh. Việc mã hóa đồng thời nhiều máy ảo và dữ liệu quý giá mà chúng lưu trữ càng làm tăng khả năng lợi nhuận cho tội phạm mạng.

Khuyến nghị

Nhằm đảm bảo an toàn thông tin cho hệ thống thông tin của đơn vị, góp phần đảm bảo an toàn cho không gian mạng Việt Nam, VNCERT/CC khuyến nghị quản trị viên được khuyến cáo các tổ chức nên tăng cường biện pháp bảo mật, đặc biệt là trong môi trường VMware ESXi, và thường xuyên sao lưu dữ liệu để giảm thiểu rủi ro từ các cuộc tấn công ransomware.