باج‌گیری play از سیستم‌های لینوکسی VMware ESXi

نسخه جدیدی از باج‌افزار Play که به نام‌های Balloonfly و PlayCrypt نیز شناخته می‌شود، سیستم‌های لینوکس و به طور خاص محیط‌های VMware ESXi را هدف گرفته است.

به گزارش افتانا، پژوهشگران امنیت سایبری نسخه جدیدی از باج‌افزار Play را که به نام‌های Balloonfly و PlayCrypt نیز شناخته می‌شود، کشف کرده‌اند که برای هدف قرار دادن سیستم‌های لینوکس و به طور خاص محیط‌های VMware ESXi طراحی شده‌ است. VMware ESXiیک هایپروايزور (مجازی‌ساز) است که برای مدیریت ماشین‌های مجازی و زیرساخت‌های IT استفاده می‌شود. این نسخه جدید از باج‌افزار Play ممکن است نشانه‌ای از گسترش حملات این گروه به پلتفرم‌های لینوکس باشد و این گسترش به این معنی است که مهاجم می‌تواند دایره قربانیان خود را افزایش دهد.

باج‌افزار Play که از ژوئن 2022 معرفی شد برای فریب و تحت فشار قرار دادن قربانیان از روش‌های دوگانه Double Extortion استفاده می‌کند. به این صورت که ابتدا داده‌های حساس را استخراج کرده و سپس سیستم‌های آسیب‌دیده را رمزگذاری می‌کند و در آخر برای دریافت کلید رمزگشایی، از قربانیان درخواست پرداخت باج می‌کند و آنها را تهدید می‌کند که در صورت عدم پرداخت، اطلاعات سرقت شده را فاش خواهند کرد.

نمونه باج‌افزار Play هنگامی که اجرا می‌شود، ابتدا بررسی می‌کند که آیا در محیط ESXiدر حال اجرا هست یا خیر. اگر بود شروع به رمزگذاری فایل‌های ماشین‌های مجازی که شامل دیسک‌های ماشین مجازی، فایل‌های پیکربندی و فایل‌های متاداده هست می‌کند. پس از رمزگذاری، این فایل‌ها را با افزونه .PLAY ذخیره می‌کند و در نهایت، یک یادداشت باج‌گیری در دایرکتوری ریشه (root directory) سیستم قربانی قرار می‌دهد.

برای اطمینان از امنیت محیط‌های ESXi باید به تنظیمات امنیتی، پیکربندی مناسب و بستن پورت‌هایی که نیاز به استفاده از آن نیست، توجه شود. نظارت مستمر بر ترافیک شبکه و فعالیت‌های غیرعادی و محدود کردن دسترسی ها و جداسازی شبکه‌های حساس و سرورها و سیستم‌های حیاتی نیز از ضروریات است و بدیهی است که آگاهی‌رسانی به کارکنان درباره‌ فیشینگ و نحوه‌ تشخیص ایمیل‌ها و لینک‌های مشکوک می‌تواند میزان نفوذ باج‌افزار را کاهش دهد. به دلیل هدف قرار دادن محیط‌های VMware ESXi پشتیبان‌گیری منظم و امن از ماشین‌های مجازی اهمیت زیادی دارد.