Спецпроекты

Безопасность Пользователю Интернет

Известная группировка хакеров-вымогателей атакует системы VMware, благодаря сотрудничеству с другой кибербандой

Шифровальная группировка Play, прославившаяся двойным вымогательством, теперь атакует системы виртуализации VMware ESXi. Возможно, преступники пользуются инфраструктурой другой группировки, предлагающей продвинутые услуги для обеспечения скрытности.

Новая мишень киберпреступников

Эксперты компании Trend Micro выявили новую версию шифровальщика Play (он же Balloonfly и PlayCrypt), на этот раз нацеленную на среды VMware ESXi. Play подозревают в использовании услуг и инфраструктуры группировки Prolific Puma, снабжающей киберпреcтупников средствами сокращения ссылок для обхода средств обнаружения.

Play впервые был выявлен в 2022 г. Группировка, стоящая за ним, использует ставшую уже типичной тактику двойного вымогательства: помимо шифрования, злоумышленники крадут значимые данные из корпоративной инфраструктуры, после чего требуют выкуп и за ключи дешифровки, и за сохранение конфиденциальности похищенной информации.

К октябрю 2023 г. в Австралии и США насчитывалось не менее 300 организаций, пострадавших от деятельности этой банды. Количество жертв продолжает расти. Чаще всего атакам подвергаются организации в США, за ними следуют Канада, Германия, Великобритания и Нидерланды.

Киберпреступники из Play требуют выкуп и за ключи дешифровки, и за сохранение конфиденциальности похищенной информации

Что касается отраслевой принадлежности, то это производство, профессиональные услуги, строительство, ИТ, ритейл, финансовые услуги, транспорт, СМИ, юридические компании и риэлторские организации.

Linux-вариант Play атакующий гипервизоры VMware, распространяется с архивом RAR, который, как выяснили эксперты, размещается по IP-адресу 108.61.142.19 (принадлежит американскому облачному провайдеру Constant). На этом же ресурсе размещаются инструменты, использовавшиеся в других атаках Play, в том числе легитимные утилиты PsExec, NetScan, WinSCP, WinRAR и бэкдор Coroxy.

Эксперты полагают, что это контрольный сервер вредоноса.

Проникнув на целевой ресурс, шифровальщик проверяет, находится ли он в среде ESXi, и если это так, то он начинает шифровать содержимое виртуальных машин, включая их диски, настроечные файлы и файлы метаданных. Ко всем добавляется расширение .PLAY. В корневой каталог сохраняется файл с требованием выкупа.

Братья по криминалу

Помимо этого, эксперты Trend Micro подозревают, что Play использует услуги и инфраструктуру группировки Prolific Puma, которая снабжает киберзлоумышленников средствами сокращения ссылок для обхода средств обнаружения и, в частности, алгоритм генерации новых доменных имен. В использовании этих сервисов замечены, в частности, группировки VexTrio Viper и Revolver Rabbit, специализирующиеся на фишинге, спаме и распространении вредоносов.

Revolver Rabbit, например, зарегистрировал порядка 500 тыс. доменов в зоне .bond (общая стоимость – около $1 млн), используя их в качестве контрольных и маскировочных серверов для инфостилера XLoader.

О существовании Prolific Puma стало известно осенью 2023 г., и эту группировку сразу же обозначили как важного инфраструктурного игрока в киберкриминальном мире, которые зарегистрировал к тому времени десятки тыс. доменов для различных злоумышленников.

«Вероятнее всего, информации о сотрудничестве тех или иных группировок с Prolific Puma будет все больше, – полагает Михаил Зайцев, эксперт по информационной безопасности компании SEQ. – В течение какого-то времени этот игрок оставался в тени, но сохранил активность и после обнаружения, что означает, что он уже достаточно закрепился в своей нише, и не испытывает проблем с клиентурой, поскольку предлагает очень удобный инструмент для обхода защитных блокировок. В такой услуге злоумышленники будут заинтересованы всегда. Что касается ESXi, то все большее количество шифровальщиков пытаются атаковать именно виртуализированные среды, поскольку они зачастую играют критическую роль в бизнесе. Заблокировав виртуальные машины, злоумышленники получают колоссальные козыри для вымогательской деятельности».

Роман Георгиев

Короткая ссылка