Pesquisadores de cibersegurança descobriram uma nova variante do ransomware conhecido como Play projetada para atacar ambientes VMware ESXi. “Esse desenvolvimento sugere que o grupo pode estar ampliando seus ataques na plataforma Linux, levando a um aumento no número de vítimas e negociações de resgate mais bem-sucedidas”, disseram os pesquisadores da Trend Micro em um relatório publicado na última sexta-feira. O Play, que surgiu em junho de 2022, é conhecido por suas táticas de dupla extorsão, criptografando sistemas após exfiltrar dados sensíveis e exigindo pagamento em troca de uma chave de descriptografia.

Segundo estimativas divulgadas pela Austrália e pelos EUA, até 300 organizações foram vítimas do grupo de ransomware até outubro de 2023. Manufatura, serviços profissionais, construção, TI, varejo, serviços financeiros, transporte, mídia, serviços jurídicos e imobiliários são alguns dos principais setores afetados pelo ransomware Play durante esse período. A amostra de ransomware, ao ser executada, garante que está operando em um ambiente ESXi antes de proceder à criptografia dos arquivos da máquina virtual (VM), incluindo disco da VM, configuração e arquivos de metadados, adicionando a extensão “.PLAY.” Uma nota de resgate é então deixada no diretório raiz.

As descobertas mais recentes indicam uma possível colaboração entre duas entidades cibercriminosas, sugerindo que os atores do ransomware Play estão tomando medidas para contornar os protocolos de segurança através dos serviços da Prolific Puma.