摘要

近日，Play 勒索软件开始针对Linux操作系统，并将 VMware ESXi 虚拟化环境作为其攻击目标。这一动态不仅对依赖于 ESXi 服务器的企业级用户构成威胁，同时也揭示了恶意软件开发者正逐步拓宽攻击范围，从传统的Windows 系统渗透至更多元化的操作系统和技术平台。

近日，网络安全公司趋势科技的分析师发现了 Play 勒索软件的最新 Linux 版本变种，专门用于加密 VMware ESXi 虚拟机。研究人员称这是首次观察到 Play 勒索软件以 ESXi 环境为攻击目标。

Play 勒索软件的 Linux 版本之所以特别选择 VMware ESXi 作为目标，主要是因为 VMware ESXi 在企业级环境中扮演着关键角色。许多企业的核心业务功能都是基于运行在 ESXi 之上的虚拟机实现的。因此，一旦受到勒索软件的影响，可能会导致大量关键业务中断或无法访问，对企业的日常运营造成严重影响。ESXi 作为 VMware 的虚拟化平台，广泛应用于数据中心，支持运行多种操作系统和服务，包括关键业务应用程序、数据库、云计算服务等。该平台的影响力、复杂性、业务价值以及潜在的高收益，使其成为一个极具吸引力的攻击目标。

在调查 Play 勒索软件样本时，趋势科技还发现该勒索软件团伙使用了一个名为 Prolific Puma 的威胁行为者提供的 URL 缩短服务。成功启动后，Play 勒索软件 Linux 样本将扫描并关闭受攻击环境中发现的所有虚拟机，然后开始加密文件（如虚拟机磁盘、配置和元数据文件），并在每个文件末尾添加 .PLAY 扩展名。

趋势科技称，要关闭所有运行中的 VMware ESXi 虚拟机以便对其进行加密，加密程序将执行以下代码：

/bin/sh -c "for vmid in $(vim-cmd vmsvc/getallvms | grep -v Vmid | awk '{print $1}'); do vim-cmd vmsvc/power.off $vmid; done"

BleepingComputer 在分析时发现，该变种专门针对 VMFS（虚拟机文件系统）设计，VMFS 由 VMware 的 vSphere 服务器虚拟化套件使用。

它还会在虚拟机的根目录中投放一张赎金条，该赎金条将显示在 ESXi 客户端的登录门户（以及虚拟机重启后的控制台）中。

Play 勒索软件 Linux 控制台赎金说明

图源：趋势科技

近年来，Play 系列勒索软件频繁引起关注，尤其是在加密货币市场繁荣背景下，此类软件利用各种漏洞和针对性强的攻击策略，不断更新变种以逃避检测并提高成功率。

面对此类新型威胁，企业与个人用户应采取综合性的防御策略：

加强系统和软件更新：保持操作系统、虚拟化管理软件以及所有应用的最新状态，及时修复已知的安全漏洞。

备份重要数据：定期对关键数据进行离线备份，确保在遭受勒索软件攻击时能够快速恢复业务运营。

安全意识培训：提升员工对网络攻击的认知水平，识别并避免潜在的恶意链接和附件，减少误操作导致的数据泄露风险。部署网络安全解决方案：采用先进的防火墙、入侵检测系统和反病毒软件，构建多层次防护体系，及时发现并阻止恶意活动。

制定应急响应计划：预先规划好在遭遇勒索软件攻击时的应对流程，包括隔离受感染设备、启动备份恢复方案、以及联系专业安全团队提供技术支持。

随着科技的发展和黑客手段的日益复杂，保护数字资产免受各类威胁愈发挑战重重。Play 勒索软件的 Linux 版本和针对 VMware ESXi 的攻势，提醒着各行各业需持续投入于增强自身网络安全防护能力。通过上述防范措施的应用，可以显著降低遭受此类攻击的风险，保障业务连续性和数据完整性。

资讯来源：BleepingComputer

转载请注明出处和本文链接

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法