Siber güvenlik araştırmacıları, Play fidye yazılımının, aynı zamanda Balloonfly ve PlayCrypt olarak da bilinen, yeni bir Linux türevini keşfetti.

Bu varyant, özellikle VMWare ESXi ortamlarını hedef almak için tasarlanmış ve potansiyel saldırılarını genişleterek başarılı fidye pazarlıklarının olasılığını artırıyor. İlk olarak Haziran 2022'de ortaya çıkan Play fidye yazılım grubu, hassas verileri dışa aktardıktan sonra sistemleri şifreleyerek ve bir şifre çözme anahtarı karşılığında ödeme talep ederek iki aşamalı şantaj taktikleriyle biliniyor.

Tahminlere göre yaklaşık 300 organizasyon bu fidye yazılımı grubunun kurbanı olmuş durumda. Play fidye yazılımının yeni Linux türevi, şifrelemeye başlamadan önce bir ESXi ortamında çalıştığından emin oluyor ve sanal makine (VM) dosyalarını, VM disk, yapılandırma ve meta verileri dahil olmak üzere şifreleyip onlara ".PLAY" uzantısı ekliyor. Daha sonra fidye notu kök dizine bırakılıyor. Fidye yazılımının örneği ayrıca önceki saldırılarda yaygın olarak kullanılan araçları, PsExec, NetScan, WinSCP, WinRAR ve Coroxy arka kapısı gibi, kullanıyor. Bu gelişme, grubun Linux platformu genelinde saldırılarını genişlettiğini ve bu sayede saldırı havuzunu genişleterek daha başarılı fidye pazarlıkları gerçekleştirdiğini gösteriyor.

Play fidye yazılım grubunun, diğer siber suçlulara kötü amaçlı yazılım dağıtırken tespit edilmelerinden kaçınmalarına yardımcı olmak için yasadışı bir link kısaltma hizmeti sunan Prolific Puma'nın hizmetlerini ve altyapısını kullandığı düşünülüyor. Bu, tespit etmeyi ve kötü amaçlı yazılıma karşı savunma yapmayı zorlaştıran bir kayıtlı alan adı üretim algoritması (RDGA) kullanarak yeni alan adları oluşturmayı içeriyor.