Новый уровень угрозы: Linux-версия вируса-вымогателя Play нацелена на VMware ESXi

Специалисты по кибербезопасности обнаружили новую версию известного вируса-вымогателя Play, специально адаптированную под Linux-системы и нацеленную на окружение VMware ESXi. Это открытие сулит серьёзные проблемы для предприятий, использующих виртуализацию для оптимизации своих IT-ресурсов.

Play, также известный как Balloonfly и PlayCrypt, изначально появился в июне 2022 года и быстро завоевал печальную известность благодаря тактике двойного вымогательства: хакеры не только шифруют данные на заражённых системах, но и предварительно крадут чувствительную информацию, требуя выкуп за возвращение доступа к данным и предотвращение их утечки.

Согласно последним данным, США оказались наиболее пострадавшей страной от атак данного вируса, за ними следуют Канада, Германия, Великобритания и Нидерланды. Среди основных жертв — представители производственной сферы, IT, строительства, розничной торговли, финансовых услуг и других отраслей.

Особенно тревожным является то, что хакеры начали использовать службы и инфраструктуру, предоставляемые так называемым Prolific Puma, который предлагает услуги сокращения ссылок для обхода защитных мер при распространении вредоносного ПО. Это указывает на потенциальное сотрудничество между двумя киберпреступными группировками.

Похоже, что Play использует алгоритмы генерации доменных имен (RDGA), позволяющие быстро создавать новые домены для маскировки своей деятельности, что затрудняет работу защитных механизмов.