Une Nouvelle Menace : Le Ransomware Play Cible les Machines Virtuelles Linux
Le ransomware Play est la dernière menace à émerger, se spécialisant dans le déploiement d’un logiciel de verrouillage dédié pour chiffrer les machines virtuelles VMware ESXi.
Selon Trend Micro, une entreprise de cybersécurité qui a détecté cette nouvelle variante, le logiciel de verrouillage est conçu pour vérifier s’il fonctionne dans un environnement ESXi avant de s’exécuter, tout en étant capable d’échapper à la détection sur les systèmes Linux.
« C’est la première fois que nous observons le ransomware Play cibler des environnements ESXi », a déclaré Trend Micro.
« Cette évolution indique que le groupe pourrait élargir ses attaques sur la plateforme Linux, ce qui pourrait accroître le nombre de victimes et améliorer les négociations de rançon. »
Une Tendance Croissante dans le Monde du Ransomware
Cette tendance n’est pas nouvelle ; de nombreux groupes de ransomware ont récemment redirigé leurs efforts vers les machines virtuelles ESXi, en raison de l’adoption croissante de ces systèmes par les entreprises pour le stockage de données et l’hébergement d’applications critiques, grâce à leur gestion efficace des ressources.
Paralyser les machines virtuelles ESXi d’une organisation peut entraîner des interruptions majeures des opérations commerciales, tandis que le chiffrement des fichiers et des sauvegardes limite considérablement les options de récupération des données pour les victimes.
Analyse des Méthodes d’Attaque
En examinant un échantillon de ransomware Play, Trend Micro a également découvert que le groupe utilise des services de raccourcissement d’URL fournis par un acteur malveillant connu sous le nom de Prolific Puma.
Une fois lancé avec succès, le ransomware Play scanne et éteint toutes les machines virtuelles présentes dans l’environnement compromis, puis commence à chiffrer les fichiers (comme les disques VM, les fichiers de configuration et les métadonnées), en ajoutant l’extension .PLAY à chaque fichier.
Pour éteindre toutes les machines virtuelles VMware ESXi en cours d’exécution afin de les chiffrer, Trend Micro indique que l’encryptor exécutera le code suivant :
/bin/sh -c "for vmid in $(vim-cmd vmsvc/getallvms | grep -v Vmid | awk '{print $1}'); do vim-cmd vmsvc/power.off $vmid; done"
Comme l’a révélé BleepingComputer lors de son analyse, cette variante cible spécifiquement le VMFS (Virtual Machine File System), utilisé par la suite de virtualisation de serveur vSphere de VMware.
Elle dépose également une note de rançon dans le répertoire racine de la VM, qui sera affichée dans le portail de connexion du client ESXi (et sur la console après le redémarrage de la VM).
Historique et Impact du Ransomware Play
Le ransomware Play a fait son apparition en juin 2022, avec les premières victimes cherchant de l’aide sur les forums de BleepingComputer.
Les opérateurs de ce ransomware sont connus pour voler des documents sensibles à partir des appareils compromis, qu’ils utilisent dans des attaques de double extorsion pour forcer les victimes à payer la rançon sous la menace de divulguer les données volées en ligne.
Parmi les victimes notables du ransomware Play figurent la société de cloud computing Rackspace, la ville d’Oakland en Californie, le géant de la vente automobile Arnold Clark, la ville belge d’Anvers et le comté de Dallas.
En décembre, le FBI a averti, dans un avis conjoint avec la CISA et le Centre australien de cybersécurité (ACSC), que le groupe de ransomware avait compromis environ 300 organisations à l’échelle mondiale jusqu’en octobre 2023.
Les trois agences gouvernementales ont conseillé aux défenseurs d’activer l’authentification multifactorielle chaque fois que cela est possible, de maintenir des sauvegardes hors ligne, de mettre en œuvre un plan de récupération et de garder tous les logiciels à jour.
