Главная страница » IOC
0
9 месяцев
IOC

Play Ransomware IOCs - Part 5

ransomware

Команда Trend Micro Threat Hunting обнаружила Linux-вариант программы Play ransomware, нацеленной на файлы только в средах VMWare ESXi.

Play Ransomware

Впервые обнаруженная в июне 2022 года, программа Play ransomware известна своей тактикой двойного вымогательства и специально разработанными инструментами, от которой пострадали многие организации в Латинской Америке. По данным Trend Micro, это первый случай атаки Play ransomware на среды ESXi, что свидетельствует о потенциальном расширении круга целей на платформе Linux, что может увеличить число жертв и успешность переговоров о выкупе.

В средах VMWare ESXi размещается множество виртуальных машин (ВМ) и критически важных приложений, что делает их основными целями. Их повреждение может нарушить бизнес-операции и зашифровать резервные копии, что затруднит восстановление данных. Вариант программы-вымогателя Play был обнаружен в сжатом виде вместе со своим аналогом для Windows в RAR-файле на вредоносном URL-адресе и имеет нулевое количество обнаружений на VirusTotal.

Цепочка заражения включает несколько инструментов, в том числе PsExec, NetScan, WinSCP, WinRAR и бэкдор Coroxy. Вымогатель выполняет специфические для ESXi команды, отключая виртуальные машины перед шифрованием критически важных файлов, к которым добавляется расширение «.PLAY». Затем на портале входа в систему клиента ESXi отображается уведомление о выкупе.

Linux-вариант вымогательского ПО Play использует для своих атак сервер команд и управления, на котором размещены общие инструменты, и, возможно, применяет тактику, аналогичную его Windows-варианту. IP-адрес, связанный с этой программой, связан с другим злоумышленником - Prolific Puma, известным генерацией доменных имен и предоставлением услуг по сокращению ссылок для киберпреступников. Общая инфраструктура между Play ransomware и Prolific Puma указывает на сотрудничество, что повышает способность Play ransomware уклоняться от обнаружения и укреплять свои стратегии атак.

Indicators of Compromise

IPv4

  • 108.61.142.190

URLs

  • http://108.61.142.190/1.dll.sa
  • http://108.61.142.190/64.zip
  • http://108.61.142.190/FX300.rar
  • http://108.61.142.190/host1.sa
  • http://108.61.142.190/PsExec.exe
  • http://108.61.142.190/winrar-x64-611.exe

SHA1

  • 2a5e003764180eb3531443946d2f3c80ffcb2c30
Комментарии: 0
Похожие записи
0
4 дня
IOC

Партнеры Qilin атаковали администратора MSP ScreenConnect, нацеливаясь на клиентов.

security
В январе 2025 года администратор поставщика управляемых услуг (MSP) получил фишинговое письмо, представлявшее собой предупреждение об аутентификации для удаленного мониторинга и управления (RMM) инструмента ScreenConnect.
0
6 дней
IOC

EDRKillShifter от RansomHub

security
Исследователи ESET отметили существенные изменения в экосистеме вымогательского ПО в 2024 году, особенно в отношении банды RansomHub, которая стала одной из ведущих на данный момент.