网络安全研究人员发现了一种新的 Linux 勒索软件变种，称为 Play（又名 Balloonfly 和 PlayCrypt），旨在针对 VMware ESXi 环境。

“这一事态发展表明，该组织可能正在扩大其在整个Linux平台上的攻击，导致受害者群体扩大和更成功的赎金谈判，”趋势科技研究人员在周五发表的一份报告中表示。

Play 于 2022 年 6 月问世，以其双重勒索策略而闻名，在泄露敏感数据后加密系统并要求付款以换取解密密钥。根据澳大利亚和美国发布的估计，截至 2023 年 10 月，多达 300 个组织成为勒索软件组织的受害者。

趋势科技分享的 2024 年前七个月的统计数据显示，美国是受害者人数最多的国家，其次是加拿大、德国、英国和荷兰。

在此期间，制造业、专业服务、建筑业、IT、零售业、金融服务业、运输业、媒体业、法律服务业和房地产业是受 Play 勒索软件影响的一些主要行业。

这家网络安全公司对 Play 的 Linux 变体的分析来自托管在 IP 地址 （108.61.142[.]190），其中还包含其他被识别为在以前的攻击中使用的工具，例如 PsExec、NetScan、WinSCP、WinRAR 和 Coroxy 后门。

“虽然没有观察到实际的感染，但命令和控制（C&C）服务器托管了Play勒索软件目前在攻击中使用的常用工具，”它说。“这可能意味着Linux变体可能采用类似的策略，技术和程序（TTP）。

勒索软件示例在执行时，可确保它在 ESXi 环境中运行，然后继续加密虚拟机 （VM） 文件，包括 VM 磁盘、配置和元数据文件，并在其后附加扩展名“.玩。然后，赎金记录将放入根目录中。

进一步的分析确定，Play 勒索软件组织可能正在使用 Prolific Puma 兜售的服务和基础设施，该公司为其他网络犯罪分子提供非法链接缩短服务，以帮助他们在分发恶意软件时逃避检测。

具体来说，它采用所谓的注册域生成算法 （RDGA） 来启动新域名，这是一种程序化机制，越来越多地被包括 VexTrio Viper 和 Revolver Rabbit 在内的多个威胁行为者用于网络钓鱼、垃圾邮件和恶意软件传播。

例如，Revolver Rabbit 据信在“.bond”顶级域名 （TLD） 上注册了超过 500,000 个域名，成本约为 100 万美元，利用它们作为 XLoader（又名 FormBook）窃取恶意软件的活跃和诱饵 C2 服务器。

Infoblox在最近的一项分析中指出：“该演员使用的最常见的RDGA模式是一系列一个或多个字典单词，后跟一个五位数字，每个单词或数字用破折号分隔。“有时演员会使用 ISO 3166-1 国家代码、完整的国家/地区名称或与年份相对应的数字，而不是字典单词。”

与传统的 DGA 相比，RDGA 的检测和防御更具挑战性，因为它们允许威胁行为者生成许多域名来注册它们，以便在其犯罪基础设施中一次性或随着时间的推移使用。

“在RDGA中，算法是威胁行为者保守的秘密，他们注册了所有域名，”Infoblox说。“在传统的DGA中，恶意软件包含可以被发现的算法，并且大多数域名都不会被注册。虽然 DGA 专门用于连接到恶意软件控制器，但 RDGA 用于各种恶意活动。

最新调查结果表明，两个网络犯罪实体之间存在潜在的合作，这表明 Play 勒索软件行为者正在采取措施通过 Prolific Puma 的服务绕过安全协议。

“ESXi 环境是勒索软件攻击的高价值目标，因为它们在业务运营中发挥着关键作用，”趋势科技总结道。“同时加密多个虚拟机的效率以及它们所拥有的宝贵数据进一步提升了它们对网络犯罪分子的有利可图。”