پژوهشگران امنیت سایبری نسخه جدیدی از باج‌افزار Play که به نام‌های Balloonfly و PlayCrypt نیز شناخته می‌شود را کشف کرده‌اند که برای هدف قرار دادن سیستم‌های لینوکس و به طور خاص محیط‌های VMware ESXi طراحی شده‌ است. VMware ESXiیک هایپروایزور (مجازی‌ساز) است که برای مدیریت ماشین‌های مجازی و زیرساخت‌های IT استفاده می‌شود. این نسخه جدید از باج‌افزار Play ممکن است نشانه‌ای از گسترش حملات این گروه به پلتفرم‌های لینوکس باشد و این گسترش به این معنی است که مهاجم می‌تواند دایره قربانیان خود را افزایش دهد.

باج‌افزار Play از ژوئن 2022 به عرصه سایبری معرفی شد. این باج‌افزار برای فریب و تحت فشار قرار دادن قربانیان از روش‌های دوگانه Double Extortion استفاده می‌کند. به این صورت که ابتدا داده‌های حساس را استخراج کرده و سپس سیستم‌های آسیب‌دیده را رمزگذاری می‌کند و در آخر برای دریافت کلید رمزگشایی، از قربانیان درخواست پرداخت باج می‌کند و آنها را تهدید می‌کند که در صورت عدم پرداخت، اطلاعات سرقت شده را فاش خواهند کرد!
نمونه باج‌افزار Play هنگامی که اجرا می‌شود، ابتدا بررسی می‌کند که آیا در محیط ESXiدر حال اجرا هست یا خیر. اگر بود شروع به رمزگذاری فایل‌های ماشین‌های مجازی که شامل دیسک‌های ماشین مجازی، فایل‌های پیکربندی و فایل‌های متاداده هست می‌کند. پس از رمزگذاری، این فایل‌ها را با افزونه .PLAY ذخیره می‌کند و در نهایت، یک یادداشت باج‌گیری در دایرکتوری ریشه (root directory) سیستم قربانی قرار می‌دهد.

محصولات تحت تأثیر

محیط‌های VMware ESXi

توصیه‌های امنیتی

برای اطمینان از امنیت محیط‌های ESXi تنظیمات امنیتی، پیکربندی مناسب و بستن پورت‌هایی که نیاز به استفاده از آن نیست حایز اهمیت است.
نظارت مستمر بر ترافیک شبکه و فعالیت‌های غیرعادی
محدود کردن دسترسی ها و جداسازی شبکه‌های حساس و سرورها و سیستم‌های حیاتی
آگاهی‌رسانی به کارکنان درباره‌ی فیشینگ و نحوه‌ی تشخیص ایمیل‌ها و لینک‌های مشکوک می‌تواند میزان نفوذ باج‌افزار را کاهش دهد.
به دلیل هدف قرار دادن محیط‌های VMware ESXi پشتیبان‌گیری منظم و امن از ماشین‌های مجازی اهمیت زیادی دارد.