La ciberseguridad está enfrentando una nueva amenaza con la aparición de una versión del ransomware Play diseñada para sistemas Linux. Este malware se dirige específicamente a las máquinas virtuales VMware ESXi, utilizadas ampliamente en entornos empresariales. Conocer cómo funciona esta amenaza y las medidas preventivas que se pueden tomar es crucial para proteger la integridad y continuidad de los sistemas críticos en tu organización.
El ransomware Play es la más reciente amenaza que ha comenzado a utilizar un bloqueador dedicado para Linux, específicamente diseñado para cifrar máquinas virtuales VMware ESXi. Esta táctica marca un hito significativo, ya que es la primera vez que se observa a Play ransomware apuntando directamente a entornos ESXi, una plataforma vital en el ámbito empresarial.
El bloqueador desarrollado por el grupo detrás de Play ransomware es capaz de identificar si está operando en un entorno ESXi antes de proceder con su ejecución. Esta capacidad le permite evadir la detección en sistemas Linux, incrementando su efectividad y peligrosidad. La evolución del ransomware Play hacia la plataforma Linux sugiere una expansión en sus ataques, lo que podría resultar en un aumento de víctimas y en negociaciones de rescate más exitosas.
Esta tendencia no es nueva; desde hace años, muchos grupos de ransomware han redirigido su enfoque hacia las máquinas virtuales ESXi. Esto se debe a que las empresas han adoptado ampliamente esta tecnología para el almacenamiento de datos y la gestión de aplicaciones críticas, debido a su eficiencia en el manejo de recursos.
Desactivar las máquinas virtuales ESXi de una organización puede causar interrupciones significativas en las operaciones comerciales, mientras que el cifrado de archivos y copias de seguridad limita drásticamente las opciones de las víctimas para recuperar sus datos afectados.
Simulación del flujo de ataque de ransomware en Linux
Podría interesarte leer: ¿Por qué es importante un Backup as a Service?
Durante el análisis de una muestra del ransomware Play, se descubrió que esta banda de ciberdelincuentes está utilizando servicios de acortamiento de URL proporcionados por un actor de amenazas conocido como Prolific Puma. Esta estrategia les permite disfrazar sus enlaces maliciosos, facilitando la distribución y ejecución del ransomware.
Una vez que el ransomware Play se inicia con éxito en un sistema Linux, procede a escanear el entorno en busca de máquinas virtuales. Identificadas las máquinas virtuales VMware ESXi, el ransomware las apaga para proceder al cifrado de los archivos asociados. Entre los archivos cifrados se incluyen los discos de las máquinas virtuales, archivos de configuración y metadatos. Cada archivo cifrado recibe la extensión .PLAY, marcando así su compromiso.
Se ha descubierto una variante del ransomware Play diseñada específicamente para atacar VMFS (Virtual Machine File System), el sistema de archivos utilizado por la suite de virtualización de servidores vSphere de VMware. Este enfoque preciso permite a los ciberdelincuentes centrarse directamente en los entornos virtualizados, donde la interrupción puede causar un daño significativo a las operaciones empresariales.
Conoce más sobre: RansomHouse: Ataques Automatizados a VMware ESXi con MrAgent
Una vez que el ransomware Play infecta el sistema, deja una nota de rescate en el directorio raíz de la máquina virtual afectada. Esta nota se muestra en el portal de inicio de sesión del cliente ESXi y en la consola después de que la VM se reinicia. Este método garantiza que las víctimas vean rápidamente la demanda de rescate y la amenaza asociada con el cifrado de sus datos.
Nota de rescate de la consola Linux del ransomware
El ransomware Play hizo su primera aparición en junio de 2022, y desde entonces ha causado estragos en múltiples organizaciones. Las primeras víctimas acudieron a foros en busca de ayuda, lo que puso en evidencia la creciente amenaza que representaba esta nueva variante de ransomware.
Los operadores del ransomware Play son notorios por emplear tácticas de doble extorsión. Además de cifrar los archivos, también roban documentos confidenciales de los dispositivos comprometidos. Posteriormente, amenazan con filtrar estos datos en línea si no se paga el rescate, ejerciendo una presión adicional sobre las víctimas para que cumplan con sus demandas.
Conoce más sobre: Play Ransomware ahora como servicio comercial para Hackers
El ransomware Play ha afectado a una serie de organizaciones prominentes, incluyendo Rackspace, la ciudad de Oakland en California, Arnold Clark, la ciudad belga de Amberes y el condado de Dallas. Estas víctimas han experimentado graves interrupciones en sus operaciones, destacando la capacidad del ransomware para causar un impacto significativo en diversas industrias y gobiernos locales.
En diciembre, el FBI, en colaboración con la CISA y el Centro Australiano de Seguridad Cibernética (ACSC), emitió una advertencia conjunta sobre la creciente amenaza del ransomware Play, informando que aproximadamente 300 organizaciones en todo el mundo habían sido violadas hasta octubre de 2023.
Estas agencias gubernamentales recomendaron varias medidas de seguridad para protegerse contra este tipo de ataques. Entre estas medidas se incluyen:
La evolución del ransomware Play y su enfoque en sistemas virtualizados como VMFS de VMware subraya la importancia de una ciberseguridad robusta y proactiva. Las organizaciones deben estar constantemente vigilantes y adoptar medidas preventivas para proteger sus datos y operaciones contra las crecientes amenazas cibernéticas. La colaboración y el intercambio de información entre las agencias de seguridad y las organizaciones afectadas son cruciales para mitigar el impacto de estos ataques y prevenir futuras violaciones.