长亭百川云 - 文章详情

新版勒索软件Play登陆Linux平台,瞄准VMware ESXi虚拟机

看雪学苑

72

2024-07-26

摘要

近日,Play 勒索软件开始针对Linux操作系统,并将 VMware ESXi 虚拟化环境作为其攻击目标。这一动态不仅对依赖于 ESXi 服务器的企业级用户构成威胁,同时也揭示了恶意软件开发者正逐步拓宽攻击范围,从传统的Windows 系统渗透至更多元化的操作系统和技术平台。

近日,网络安全公司趋势科技的分析师发现了 Play 勒索软件的最新 Linux 版本变种,专门用于加密 VMware ESXi 虚拟机。研究人员称这是首次观察到 Play 勒索软件以 ESXi 环境为攻击目标。

**Play 勒索软件的 Linux 版本之所以特别选择 VMware ESXi 作为目标,主要是因为 VMware ESXi 在企业级环境中扮演着关键角色。****许多企业的核心业务功能都是基于运行在 ESXi 之上的虚拟机实现的。因此,一旦受到勒索软件的影响,可能会导致大量关键业务中断或无法访问,对企业的日常运营造成严重影响。**ESXi 作为 VMware 的虚拟化平台,广泛应用于数据中心,支持运行多种操作系统和服务,包括关键业务应用程序、数据库、云计算服务等。该平台的影响力、复杂性、业务价值以及潜在的高收益,使其成为一个极具吸引力的攻击目标。

在调查 Play 勒索软件样本时,趋势科技还发现该勒索软件团伙使用了一个名为 Prolific Puma 的威胁行为者提供的 URL 缩短服务。成功启动后,Play 勒索软件 Linux 样本将扫描并关闭受攻击环境中发现的所有虚拟机,然后开始加密文件(如虚拟机磁盘、配置和元数据文件),并在每个文件末尾添加 .PLAY 扩展名。

趋势科技称,要关闭所有运行中的 VMware ESXi 虚拟机以便对其进行加密,加密程序将执行以下代码:

/bin/sh -c "for vmid in $(vim-cmd vmsvc/getallvms | grep -v Vmid | awk '{print $1}'); do vim-cmd vmsvc/power.off $vmid; done"

BleepingComputer 在分析时发现,该变种专门针对 VMFS(虚拟机文件系统)设计,VMFS 由 VMware 的 vSphere 服务器虚拟化套件使用。

它还会在虚拟机的根目录中投放一张赎金条,该赎金条将显示在 ESXi 客户端的登录门户(以及虚拟机重启后的控制台)中。

Play 勒索软件 Linux 控制台赎金说明

图源:趋势科技

近年来,Play 系列勒索软件频繁引起关注,尤其是在加密货币市场繁荣背景下,此类软件利用各种漏洞和针对性强的攻击策略,不断更新变种以逃避检测并提高成功率。

面对此类新型威胁,企业与个人用户应采取综合性的防御策略:

**加强系统和软件更新:**保持操作系统、虚拟化管理软件以及所有应用的最新状态,及时修复已知的安全漏洞。

**备份重要数据:**定期对关键数据进行离线备份,确保在遭受勒索软件攻击时能够快速恢复业务运营。

**安全意识培训:**提升员工对网络攻击的认知水平,识别并避免潜在的恶意链接和附件,减少误操作导致的数据泄露风险。部署网络安全解决方案:采用先进的防火墙、入侵检测系统和反病毒软件,构建多层次防护体系,及时发现并阻止恶意活动。

**制定应急响应计划:**预先规划好在遭遇勒索软件攻击时的应对流程,包括隔离受感染设备、启动备份恢复方案、以及联系专业安全团队提供技术支持。

随着科技的发展和黑客手段的日益复杂,保护数字资产免受各类威胁愈发挑战重重。Play 勒索软件的 Linux 版本和针对 VMware ESXi 的攻势,提醒着各行各业需持续投入于增强自身网络安全防护能力。通过上述防范措施的应用,可以显著降低遭受此类攻击的风险,保障业务连续性和数据完整性。

资讯来源:BleepingComputer

转载请注明出处和本文链接

球分享

球点赞

球在看

点击阅读原文查看更多

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2