Play ransomware adalah kelompok ransomware terbaru yang mulai menggunakan loker Linux khusus untuk mengenkripsi mesin virtual VMware ESXi.
Perusahaan keamanan siber Trend Micro, yang analisnya menemukan varian ransomware baru, mengatakan loker tersebut dirancang untuk terlebih dahulu memeriksa apakah ransomware tersebut berjalan di lingkungan ESXi sebelum dieksekusi dan bahwa ransomware tersebut dapat menghindari deteksi pada sistem Linux.
“Ini adalah pertama kalinya kami mengamati ransomware Play yang menargetkan lingkungan ESXi,” Trend Micro mengatakan.
“Perkembangan ini menunjukkan bahwa kelompok tersebut dapat memperluas serangannya di seluruh platform Linux, yang mengarah pada perluasan jumlah korban dan negosiasi tebusan yang lebih berhasil.”
Ini telah menjadi tren yang diketahui selama bertahun-tahun, dengan sebagian besar kelompok ransomware mengalihkan fokus ke mesin virtual ESXi setelah perusahaan beralih menggunakannya untuk penyimpanan data dan hosting aplikasi penting karena penanganan sumber dayanya yang jauh lebih efisien.
Penghapusan VM ESXi suatu organisasi akan menyebabkan gangguan dan penghentian operasional bisnis yang besar, sementara enkripsi file dan pencadangan secara drastis mengurangi opsi korban untuk memulihkan data yang terdampak.
Saat menyelidiki sampel ransomware Play ini, Trend Micro juga menemukan bahwa kelompok ransomware tersebut menggunakan Layanan pemendekan URL disediakan oleh aktor ancaman yang dilacak sebagai Prolific Puma.
Setelah berhasil diluncurkan, sampel Linux ransomware Play akan memindai dan mematikan semua VM yang ditemukan di lingkungan yang terinfeksi dan mulai mengenkripsi berkas (misalnya, disk VM, konfigurasi, dan berkas metadata), serta menambahkan ekstensi .PLAY di akhir setiap berkas.
Untuk mematikan semua mesin virtual VMware ESXi yang sedang berjalan sehingga dapat dienkripsi, Trend Micro mengatakan bahwa enkripsi akan mengeksekusi kode berikut:
/bin/sh -c "for vmid in $(vim-cmd vmsvc/getallvms | grep -v Vmid | awk '{print $1}'); do vim-cmd vmsvc/power.off $vmid; done"
Seperti yang ditemukan BleepingComputer saat menganalisisnya, varian ini dirancang untuk secara khusus menargetkan VMFS (Virtual Machine File System), yang digunakan oleh rangkaian virtualisasi server vSphere milik VMware.
Ini juga akan menjatuhkan catatan tebusan di direktori root VM, yang akan ditampilkan di portal masuk klien ESXi (dan konsol setelah VM di-boot ulang).
Mainkan ransomware muncul pada bulan Juni 2022, dengan korban pertama yang meminta bantuan di Forum BleepingComputer.
Operatornya dikenal mencuri dokumen sensitif dari perangkat yang disusupi, yang mereka gunakan dalam serangan pemerasan ganda untuk menekan korban agar membayar tebusan dengan ancaman membocorkan data yang dicuri secara daring.
Korban ransomware Play yang terkenal termasuk perusahaan komputasi awan Ruang rakitu Kota Oakland di California, raksasa pengecer mobil Arnold Clarkitu Kota Antwerp, BelgiaDan Kabupaten Dallas.
Pada bulan Desember, FBI memperingatkan dalam nasihat bersama dengan CISA dan Pusat Keamanan Siber Australia (ACSC) bahwa kelompok ransomware telah membobol sekitar 300 organisasi di seluruh dunia hingga Oktober 2023.
Ketiga lembaga pemerintah tersebut menyarankan para pembela untuk mengaktifkan autentikasi multifaktor sedapat mungkin, memelihara cadangan offline, menerapkan rencana pemulihan, dan selalu memperbarui semua perangkat lunak.
