Playはランサムウェアを展開する脅威アクターです。
Playは2022年ごろから活動が観測されている脅威アクターです。
活動内容に大きく変化があるようです。
- 狙いはESXi
これまでのPlayは一般的に企業組織などで多く利用されているWindows環境を狙った活動を実施していました。
しかし今回、VMware ESXiに狙いを絞った活動が観測されています。
ランサムウェアの活動の最初のほうの機構で動作しているOSの判定が行われます。
そしてその結果がESXiのホスト部分だった場合にだけ活動を開始するような機構を含みます。
これにより、狙ったターゲットの場所で動作するということだけでなく、セキュリティ製品による検出の回避にも成功しています。
確認時点においてはVirusTotalで確認できるすべてのセキュリティ製品で検出ができていない状態となっていました。 - 暗号化
ESXi上で活動を開始すると環境を暗号化していきます。
まずは、ESXiの管理コマンドを使ってVMの一覧を取得し、すべてのVMの電源をoffにします。
そして、ESXiのVMを構成する各ファイルを暗号化し、ファイル拡張子として「.play」を追加します。 - 身代金メモ
身代金メモは各所に配置されます。
VMのディレクトリの中に置かれます。
そしてESXiのWeb管理画面にも表示されるように配置します。 - RDGAでC2に接続
PlayはRDGAを使います。
RDGAはRegistered Domain Generation Algorithmです。
マルウェアがC2のアドレスを直接保持することはセキュリティ製品での検出率が上がってしまうことから脅威アクターが嫌うようになっています。
そこで使われるようになったのがDGAだったのですが、最近はさらにそれの問題点を解消したRDGAが利用されるようになってきています。
PlayもRDGAを使います。
Play自身で用意した機構ではなく、Prolific Pumaと呼ばれる別の脅威アクターの提供するRDGAの仕組みを使っています。
つい先日もRDGAの話をしましたが、RDGAを使った脅威が広がってきていることを感じます。
この脅威に直接的に効能のある対策というものはなさそうです。
しかし対策は実施していかねばなりません。
対応作戦はいつも通りになりそうです。
資産管理を徹底し、各機器のパッチケイデンスを適切に保ち、健全な運用を行いましょう。
多要素認証を取り入れる、環境の監視環境を整え環境の変化に速やかに気が付くことのできるようにする、などの取り組みも有効でしょう。
Play Ransomware Group’s New Linux Variant Targets ESXi, Shows Ties With Prolific Puma
https://www.trendmicro.com/en_us/research/24/g/new-play-ransomware-linux-variant-targets-esxi-shows-ties-with-p.html
| この記事をシェア |
|
|---|
