Исследователи в области кибербезопасности из компании Trend Micro недавно обнаружили вариант зловредной программы-вымогателя Play для Linux, которая нацелена на окружение VMWare ESXi.
Согласно техническому анализу, проведенному командой Threat Hunting из Trend Micro, это первый случай, когда завирус Play был использован против окружений ESXi. Это может свидетельствовать о том, что преступники расширяют свою деятельность на платформе Linux, увеличивая количество потенциальных жертв и успех в переговорах о выкупе.
Широко раcпространенный Puma и Revolver Rabbit
Компании часто используют инстанции VMWare ESXi для виртуальных машин, где размещают критически важные приложения, данные и интегрированные системы резервного копирования. Нацеливание на такие оконечные устройства позволяет операторам Play значительно снижать шансы восстановить зашифрованные данные, что улучшает их позицию на переговорах. Кроме атак на Linux системы, новый вариант так же успешно избегает детекции системой безопасности, как добавили в Trend Micro.
Исследуя инфраструктуру, используемую в этих кампаниях, исследователи обнаружили особенность: URL, на котором размещен шифровальщик, связан с группой злоумышленников под названием Prolific Puma. Эта группа известна предоставлением услуг сокращения ссылок для преступников, делая фишинговые атаки более убедительными и, следовательно, более разрушительными.
В конце 2023 года исследователи из Infoblox обнаружили крупную операцию по сокращению ссылок, в которой преступники использовали зарегистрированный алгоритм генерации доменов (RDGA) для массового создания доменных имен. Затем они использовали эти домены для предоставления услуг по сокращению ссылок другим вредоносным пользователям.
В начале месяца та же компания выявила угрозу, исходящую от хакера под именем Revolver Rabbit, который использовал RDGA для регистрации более 500,000 доменов, что обошлось им более чем в миллион долларов. Хакер использовал RDGA для создания командных и управляющих (C2) и ложных доменов для вредоносного ПО XLoader, предназначенного для кражи информации.
Источник: The Hacker News
Источник: TechRadar
