Varian Linux Baru dari Play Ransomware Menargetkan Sistem VMware ESXi

Post author:Yudi Kurniawan
Post category:Linux / Malware / Security

Ransomware Play Menyasar VMware ESXi

Peneliti keamanan siber telah menemukan varian baru dari ransomware Play, yang kini dirancang untuk menyerang lingkungan VMware ESXi. Ransomware ini sebelumnya dikenal dengan nama lain seperti Balloonfly dan PlayCrypt.

Tujuan Serangan yang Diperluas

Menurut laporan dari Trend Micro, perkembangan ini menunjukkan bahwa kelompok peretas di balik ransomware Play berusaha memperluas jangkauan serangannya ke platform Linux. Ini berarti lebih banyak korban potensial dan kemungkinan negosiasi tebusan yang lebih berhasil.

Taktik Pemerasan Ganda

Ransomware Play pertama kali muncul pada Juni 2022. Jenis ransomware ini menggunakan taktik pemerasan ganda: selain mengenkripsi sistem korban, peretas juga mencuri data sensitif dan menuntut tebusan untuk dekripsi dan tidak menyebarkan data tersebut. Perkiraan terbaru menunjukkan bahwa sekitar 300 organisasi telah menjadi korban ransomware ini hingga Oktober 2023.

Dampak Global

Statistik dari Trend Micro menunjukkan bahwa pada paruh pertama tahun 2024, Amerika Serikat menjadi negara dengan korban terbanyak, diikuti oleh Kanada, Jerman, Inggris, dan Belanda. Beberapa industri yang paling terdampak adalah manufaktur, layanan profesional, konstruksi, TI, ritel, layanan keuangan, transportasi, media, layanan hukum, dan real estat.

Analisis Teknis

Peneliti menemukan varian Linux dari ransomware Play dalam file arsip RAR yang dihosting di alamat IP tertentu. Arsip tersebut juga berisi alat lain yang digunakan dalam serangan sebelumnya, seperti PsExec, NetScan, WinSCP, WinRAR, dan pintu belakang Coroxy.

Meskipun belum ada infeksi yang diamati, alat-alat yang ditemukan menunjukkan bahwa varian Linux mungkin menggunakan taktik, teknik, dan prosedur serupa dengan versi Windows.

Proses Enkripsi

Setelah dieksekusi, ransomware ini memastikan bahwa sistem target berjalan di lingkungan ESXi sebelum mengenkripsi file mesin virtual (VM), termasuk disk VM, konfigurasi, dan file metadata. File yang terenkripsi akan diberi ekstensi “.PLAY”, dan catatan tebusan akan ditempatkan di direktori root.

Kolaborasi Kejahatan Siber

Analisis lebih lanjut menunjukkan bahwa kelompok ransomware Play mungkin bekerja sama dengan Prolific Puma, yang menyediakan layanan pemendek tautan ilegal. Layanan ini membantu penjahat siber menghindari deteksi saat mendistribusikan malware.

Algoritme Pembuatan Domain Terdaftar (RDGA)

Play ransomware menggunakan mekanisme yang disebut Algoritme Pembuatan Domain Terdaftar (RDGA) untuk menghasilkan nama domain baru. Ini memungkinkan pelaku ancaman untuk terus mendaftarkan dan menggunakan domain baru dalam aktivitas berbahaya mereka, membuat deteksi dan pencegahan menjadi lebih sulit.

Ancaman untuk Lingkungan ESXi

Lingkungan VMware ESXi adalah target bernilai tinggi bagi penjahat siber karena pentingnya dalam operasi bisnis. Kemampuan untuk mengenkripsi banyak VM secara bersamaan membuatnya semakin menarik bagi para peretas.

Kesimpulan

Penemuan ini menunjukkan bahwa penjahat siber terus berinovasi dalam metode serangan mereka, memperluas jangkauan target mereka ke berbagai platform, termasuk Linux. Kolaborasi antara kelompok ransomware Play dan layanan pemendek tautan ilegal menambah tingkat kesulitan dalam upaya pencegahan dan pemulihan serangan siber.

Yudi Kurniawan

Saya adalah individu yang penuh gairah dalam dunia komputer, selalu bersemangat untuk menjelajahi teknologi terbaru, memecahkan masalah, dan menciptakan solusi inovatif. Dengan latar belakang yang kuat dalam pemrograman dan jaringan, saya terus berkembang sebagai ahli IT yang tangguh, siap untuk menghadapi tantangan apa pun yang ada di depan. Komputer bukan hanya hobi bagi saya, tetapi juga panggilan jiwa yang memotivasi saya untuk terus belajar dan tumbuh dalam lapangan yang dinamis ini.