摘要
近日,Play 勒索软件开始针对Linux操作系统,并将 VMware ESXi 虚拟化环境作为其攻击目标。这一动态不仅对依赖于 ESXi 服务器的企业级用户构成威胁,同时也揭示了恶意软件开发者正逐步拓宽攻击范围,从传统的Windows 系统渗透至更多元化的操作系统和技术平台。
在调查 Play 勒索软件样本时,趋势科技还发现该勒索软件团伙使用了一个名为 Prolific Puma 的威胁行为者提供的 URL 缩短服务。成功启动后,Play 勒索软件 Linux 样本将扫描并关闭受攻击环境中发现的所有虚拟机,然后开始加密文件(如虚拟机磁盘、配置和元数据文件),并在每个文件末尾添加 .PLAY 扩展名。
趋势科技称,要关闭所有运行中的 VMware ESXi 虚拟机以便对其进行加密,加密程序将执行以下代码:
/bin/sh -c "for vmid in $(vim-cmd vmsvc/getallvms | grep -v Vmid | awk '{print $1}'); do vim-cmd vmsvc/power.off $vmid; done"
BleepingComputer 在分析时发现,该变种专门针对 VMFS(虚拟机文件系统)设计,VMFS 由 VMware 的 vSphere 服务器虚拟化套件使用。
它还会在虚拟机的根目录中投放一张赎金条,该赎金条将显示在 ESXi 客户端的登录门户(以及虚拟机重启后的控制台)中。
Play 勒索软件 Linux 控制台赎金说明
图源:趋势科技
近年来,Play 系列勒索软件频繁引起关注,尤其是在加密货币市场繁荣背景下,此类软件利用各种漏洞和针对性强的攻击策略,不断更新变种以逃避检测并提高成功率。
面对此类新型威胁,企业与个人用户应采取综合性的防御策略:
加强系统和软件更新:保持操作系统、虚拟化管理软件以及所有应用的最新状态,及时修复已知的安全漏洞。
备份重要数据:定期对关键数据进行离线备份,确保在遭受勒索软件攻击时能够快速恢复业务运营。
安全意识培训:提升员工对网络攻击的认知水平,识别并避免潜在的恶意链接和附件,减少误操作导致的数据泄露风险。部署网络安全解决方案:采用先进的防火墙、入侵检测系统和反病毒软件,构建多层次防护体系,及时发现并阻止恶意活动。
制定应急响应计划:预先规划好在遭遇勒索软件攻击时的应对流程,包括隔离受感染设备、启动备份恢复方案、以及联系专业安全团队提供技术支持。
随着科技的发展和黑客手段的日益复杂,保护数字资产免受各类威胁愈发挑战重重。Play 勒索软件的 Linux 版本和针对 VMware ESXi 的攻势,提醒着各行各业需持续投入于增强自身网络安全防护能力。通过上述防范措施的应用,可以显著降低遭受此类攻击的风险,保障业务连续性和数据完整性。
球分享
球点赞
球在看
点击阅读原文查看更多