摘要
近日,Play 勒索软件开始针对Linux操作系统,并将 VMware ESXi 虚拟化环境作为其攻击目标。这一动态不仅对依赖于 ESXi 服务器的企业级用户构成威胁,同时也揭示了恶意软件开发者正逐步拓宽攻击范围,从传统的Windows 系统渗透至更多元化的操作系统和技术平台。
近日,网络安全公司趋势科技的分析师发现了 Play 勒索软件的最新 Linux 版本变种,专门用于加密 VMware ESXi 虚拟机。研究人员称这是首次观察到 Play 勒索软件以 ESXi 环境为攻击目标。
**Play 勒索软件的 Linux 版本之所以特别选择 VMware ESXi 作为目标,主要是因为 VMware ESXi 在企业级环境中扮演着关键角色。****许多企业的核心业务功能都是基于运行在 ESXi 之上的虚拟机实现的。因此,一旦受到勒索软件的影响,可能会导致大量关键业务中断或无法访问,对企业的日常运营造成严重影响。**ESXi 作为 VMware 的虚拟化平台,广泛应用于数据中心,支持运行多种操作系统和服务,包括关键业务应用程序、数据库、云计算服务等。该平台的影响力、复杂性、业务价值以及潜在的高收益,使其成为一个极具吸引力的攻击目标。
在调查 Play 勒索软件样本时,趋势科技还发现该勒索软件团伙使用了一个名为 Prolific Puma 的威胁行为者提供的 URL 缩短服务。成功启动后,Play 勒索软件 Linux 样本将扫描并关闭受攻击环境中发现的所有虚拟机,然后开始加密文件(如虚拟机磁盘、配置和元数据文件),并在每个文件末尾添加 .PLAY 扩展名。
趋势科技称,要关闭所有运行中的 VMware ESXi 虚拟机以便对其进行加密,加密程序将执行以下代码:
/bin/sh -c "for vmid in $(vim-cmd vmsvc/getallvms | grep -v Vmid | awk '{print $1}'); do vim-cmd vmsvc/power.off $vmid; done"
BleepingComputer 在分析时发现,该变种专门针对 VMFS(虚拟机文件系统)设计,VMFS 由 VMware 的 vSphere 服务器虚拟化套件使用。
它还会在虚拟机的根目录中投放一张赎金条,该赎金条将显示在 ESXi 客户端的登录门户(以及虚拟机重启后的控制台)中。
Play 勒索软件 Linux 控制台赎金说明
图源:趋势科技
近年来,Play 系列勒索软件频繁引起关注,尤其是在加密货币市场繁荣背景下,此类软件利用各种漏洞和针对性强的攻击策略,不断更新变种以逃避检测并提高成功率。
面对此类新型威胁,企业与个人用户应采取综合性的防御策略:
**加强系统和软件更新:**保持操作系统、虚拟化管理软件以及所有应用的最新状态,及时修复已知的安全漏洞。
**备份重要数据:**定期对关键数据进行离线备份,确保在遭受勒索软件攻击时能够快速恢复业务运营。
**安全意识培训:**提升员工对网络攻击的认知水平,识别并避免潜在的恶意链接和附件,减少误操作导致的数据泄露风险。部署网络安全解决方案:采用先进的防火墙、入侵检测系统和反病毒软件,构建多层次防护体系,及时发现并阻止恶意活动。
**制定应急响应计划:**预先规划好在遭遇勒索软件攻击时的应对流程,包括隔离受感染设备、启动备份恢复方案、以及联系专业安全团队提供技术支持。
随着科技的发展和黑客手段的日益复杂,保护数字资产免受各类威胁愈发挑战重重。Play 勒索软件的 Linux 版本和针对 VMware ESXi 的攻势,提醒着各行各业需持续投入于增强自身网络安全防护能力。通过上述防范措施的应用,可以显著降低遭受此类攻击的风险,保障业务连续性和数据完整性。
资讯来源:BleepingComputer
转载请注明出处和本文链接
﹀
﹀
﹀
球分享
球点赞
球在看
点击阅读原文查看更多
