Play-Ransomware: Neue Linux-Variante bedroht VMware ESXi
Wieder einmal steht VMware unter Feuer. Neue Entdeckungen brachten eine neue Linux-Variante des Ransomware-Stamms „Play“ (auch bekannt als Balloonfly und PlayCrypt) zutage, die auf VMware ESXi-Umgebungen abzielt.
Eine neue Entwicklung deutet darauf hin, dass die Hackergruppe Play ihre Angriffe auf die Linux-Plattform ausweiten könnte. Es lockt ein deutlich vergrößerter Kreis potenzieller Opfer, wodurch sich die Chancen auf erfolgreichere Lösegeldverhandlungen erhöhen. Diese Einschätzung stammt aus einem kürzlich veröffentlichten Bericht von Trend Micro.
Die seit Juni 2022 aktive Play Ransomware-Gruppe ist bekannt für ihre doppelte Erpressungstaktik: Nach der Exfiltration sensibler Daten verschlüsselt sie Systeme und fordert Lösegeld im Austausch für einen Entschlüsselungsschlüssel. Schätzungen zufolge haben bis Oktober 2023 bereits 300 Unternehmen in Australien und den USA unter den Angriffen von Play gelitten.
Eine wachsende Bedrohung
Laut Trend Micro waren die USA in den ersten sieben Monaten des Jahres 2024 am stärksten von Play-Ransomware betroffen, gefolgt von Kanada, Deutschland, Großbritannien und den Niederlanden. Besonders gefährdet waren Branchen wie das verarbeitende Gewerbe, professionelle Dienstleistungen, das Baugewerbe, die IT, der Einzelhandel, Finanzdienstleistungen, das Transportwesen, die Medien, juristische Dienstleistungen und der Immobiliensektor.
Die Analyse des Cybersicherheitsunternehmens Trend Micro einer Linux-Variante der Play-Ransomware basiert auf einer RAR-Archivdatei, die auf der IP-Adresse 108.61.142[.]190 gehostet wird. Diese Datei enthält auch andere Tools, die bei früheren Angriffen verwendet wurden, wie PsExec, NetScan, WinSCP, WinRAR und die Coroxy-Backdoor. „Obwohl keine tatsächliche Infektion beobachtet wurde, hostet der Command-and-Control (C&C)-Server die üblichen Tools, die Play Ransomware derzeit bei seinen Angriffen nutzt“, heißt es im Bericht. „Dies könnte darauf hindeuten, dass die Linux-Variante ähnliche Taktiken, Techniken und Verfahren (TTPs) verwendet.“
Das Ransomware-Beispiel prüft bei der Ausführung zunächst, ob es in einer ESXi-Umgebung läuft. Wenn dies der Fall ist, verschlüsselt es Dateien der virtuellen Maschinen (VM), einschließlich Festplatten-, Konfigurations- und Metadaten-Dateien, und versieht sie mit der Erweiterung „.PLAY“. Anschließend wird eine Lösegeldforderung im Stammverzeichnis abgelegt.
Verbindung zu Prolific Puma: Eine gefährliche Allianz
Weitere Analysen haben ergeben, dass die Play-Ransomware-Gruppe wahrscheinlich die Dienste und die Infrastruktur von Prolific Puma nutzt. Prolific Puma bietet anderen Cyberkriminellen einen illegalen Link-Verkürzungsdienst an, der ihnen hilft, der Entdeckung bei der Verbreitung von Malware zu entgehen.
Dieser Dienst wird zunehmend von verschiedenen Bedrohungsakteuren, darunter VexTrio Viper und Revolver Rabbit, für Phishing, Spam und Malware-Verbreitung genutzt. Revolver Rabbit beispielsweise hat über 500.000 Domains auf der Top-Level-Domain „.bond“ für schätzungsweise mehr als 1 Million US-Dollar registriert. Diese Domains dienen als aktive und verdeckte Command-and-Control (C2)-Server für die XLoader (auch bekannt als FormBook) Stealer-Malware.
Infoblox berichtet, dass Revolver Rabbit häufig eine bestimmte Art von Domain-Generierungsmuster (RDGA) verwendet. Dabei bestehen die Domain-Namen aus einem oder mehreren Wörtern aus dem Wörterbuch, gefolgt von einer fünfstelligen Zahl, wobei jedes Wort oder jede Zahl durch einen Bindestrich getrennt ist. Manchmal werden auch ISO 3166-1 Ländercodes, vollständige Ländernamen oder Zahlen eingesetzt, die Jahreszahlen entsprechen.
RDGAs (Random Domain Generation Algorithms) sind schwieriger zu erkennen und abzuwehren als herkömmliche DGAs (Domain Generation Algorithms). Sie ermöglichen es den Bedrohungsakteuren, viele Domainnamen zu generieren und sie entweder auf einmal oder im Laufe der Zeit für ihre kriminelle Infrastruktur zu registrieren. „Bei einer RDGA bleibt der Algorithmus ein Geheimnis des Bedrohungsakteurs, der alle Domainnamen registriert“, erklärt Infoblox. „Bei herkömmlichen DGAs enthält die Malware einen Algorithmus, der entdeckt werden kann, und die meisten Domainnamen werden nicht registriert. Während DGAs ausschließlich für die Verbindung zu einem Malware-Controller verwendet werden, kommen RDGAs bei einem breiten Spektrum an bösartigen Aktivitäten zum Einsatz.“
Die neuesten Erkenntnisse deuten auf eine mögliche Zusammenarbeit zwischen zwei cyberkriminellen Gruppen hin und legen nahe, dass die Play-Ransomware-Akteure Schritte unternehmen, um Sicherheitsprotokolle durch die Dienste von Prolific Puma zu umgehen. „ESXi-Umgebungen sind aufgrund ihrer kritischen Rolle im Geschäftsbetrieb hochwertige Ziele für Ransomware-Angriffe“, resümiert Trend Micro. „Die Effizienz, mit der zahlreiche VMs gleichzeitig verschlüsselt werden können, und die wertvollen Daten, die sie enthalten, machen sie für Cyberkriminelle noch lukrativer.“