Play ランサムウェアは、VMware ESXi 仮想マシンを暗号化するための専用 Linux ロッカーを配備し始めた最新のランサムウェア集団である。
この新しいランサムウェアの亜種を発見したサイバーセキュリティ企業Trend Microのアナリストによると、このロッカーは実行前にまずESXi環境で実行されているかどうかを確認するように設計されており、Linuxシステム上での検出を回避できるという。
「ESXi環境をターゲットにしたPlayランサムウェアを観測したのは今回が初めてだ。
“この進展は、このグループがLinuxプラットフォーム全体に攻撃を広げている可能性を示唆しており、被害者層の拡大と身代金交渉の成功につながっています。”
これは数年前から知られている傾向で、ESXi仮想マシンはリソース処理が非常に効率的であるため、企業がデータストレージや重要なアプリケーションのホスティングにESXi仮想マシンを使用するようになった後、ほとんどのランサムウェアグループはESXi仮想マシンにフォーカスを移している。
組織のESXi仮想マシンをダウンさせることは、大規模な業務の中断や停止につながる一方、ファイルやバックアップを暗号化することは、被害者が影響を受けたデータを回復する選択肢を大幅に減らすことになる。
トレンドマイクロは、このPlayランサムウェアのサンプルを調査する中で、このランサムウェアのギャングが、Prolific Pumaとして追跡されている脅威アクターが提供するURL短縮サービスを利用していることも発見しました。
起動に成功すると、PlayランサムウェアLinuxサンプルは、侵害された環境で見つかったすべてのVMをスキャンしてパワーオフし、ファイル(VMディスク、設定ファイル、メタデータファイルなど)の暗号化を開始し、各ファイルの末尾に.PLAY拡張子を追加します。
実行中のVMware ESXi仮想マシンをすべてパワーオフして暗号化できるようにするため、トレンドマイクロによると、暗号化プログラムは次のコードを実行する:
/bin/sh -c "for vmid in $(vim-cmd vmsvc/getallvms | grep -v Vmid | awk '{print $1}'); do vim-cmd vmsvc/power.off $vmid; done"
この亜種は、VMwareのvSphereサーバー仮想化スイートで使用されているVMFS(Virtual Machine File System)を特にターゲットにするように設計されている。
また、VMのルート・ディレクトリに身代金のメモをドロップし、ESXiクライアントのログイン・ポータル(およびVMが再起動された後のコンソール)に表示される。
Playランサムウェアは2022年6月に表面化し、最初の被害者は‘sフォーラムで助けを求めた。
このランサムウェアの運営者は、侵害されたデバイスから機密文書を盗み出すことで知られており、二重の恐喝攻撃によって、盗まれたデータをオンライン上に流出させるという脅しのもと、被害者に身代金の支払いを迫る。
知名度の高いPlayランサムウェアの被害者には、クラウド・コンピューティング企業のラックスペース、カリフォルニア州オークランド市、自動車小売大手のアーノルド・クラーク、ベルギーのアントワープ市、ダラス郡などが含まれる。
12月、FBIはCISAおよびオーストラリア・サイバー・セキュリティ・センター(ACSC)との共同勧告で、このランサムウェア集団が2023年10月までに世界中で約300の組織に侵入したと警告した。
3つの政府機関は、可能な限り多要素認証を有効にし、オフライン・バックアップを維持し、復旧計画を実施し、すべてのソフトウェアを最新の状態に保つよう、防御者に助言した。
Comments