16/12/2024

Actu Cybersécurité

Ransomware Play : une nouvelle variante Linux pour cibler les VM des serveurs VMware ESXi !

Une nouvelle variante du ransomware Play a été découverte ! Sa particularité ? Elle supporte Linux dans le but de chiffrer les machines virtuelles des hôtes VMware ESXi. Faisons le point sur cette menace.

Au fil des mois, la liste des ransomwares « compatibles » avec VMware ESXi ne cesse de s'allonger. Cette fois-ci, c'est un acteur malveillant bien connu qui a été repéré en train de chiffrer les machines virtuelles d'un environnement VMware : le ransomware Play. Détecté pour la première fois en juin 2022, ce gang de cybercriminels est très actif et il applique le principe de la double extorsion.

Un nouveau rapport publié par Trend Micro évoque cette nouvelle variante du ransomware Play. Ce gang de ransomware cible majoritairement des organisations aux États-Unis (82.4% des victimes entre janvier et juillet 2024), bien qu'il y ait des victimes également en Europe.

Notre équipe de Threat Hunting a découvert une variante Linux du ransomware Play qui ne chiffre les fichiers que lorsqu'il est exécuté dans un environnement VMWare ESXi.", peut-on lire dans les premières lignes du rapport. Il est également précisé que c'est la première fois que le ransomware Play est repéré en train de chiffrer des VM sur VMware ESXi.

Lorsque la variante Linux du ransomware Play est exécutée sur un serveur ESXi, elle procède à l'analyse et à l'arrêt de toutes les machines virtuelles. Ensuite, l'opération de chiffrement débute. Chaque fichier de la VM, c'est-à-dire le fichier de configuration, le disque virtuel, etc... est chiffré et hérite de l'extension ".PLAY".

Source : Trend Micro

"Il dépose également une note de rançon dans le répertoire racine, qui s'affiche également dans le portail de connexion du client ESXi.", précise Trend Micro. Ceci fait référence à la connexion en mode console, mais aussi au portail Web. Enfin, il est intéressant de noter que pour ces attaques, le gang de ransomware Play s'est appuyé sur le système de génération de noms de domaine et de raccourcissements d'URL mis à disposition par le gang ProlificPuma.

Le fait de compromettre et de chiffrer l'ensemble des machines virtuelles d'un hyperviseur permet de faire un maximum de dégâts, et de mettre une énorme pression sur l'organisation prise pour cible. Pour les cybercriminels, c'est aussi un moyen de tenter de mieux négocier les demandes de rançon. Cette nouvelle variante du ransomware Play en est une preuve supplémentaire...

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

1 commentaire sur “Ransomware Play : une nouvelle variante Linux pour cibler les VM des serveurs VMware ESXi !

  • coucou
    comment ce ransomware escalade-t-il les droits pour parvenir à ses fins ?
    facile de faire flipper la ménagère, mais un adminsys ??

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.