據(jù)澳大利亞和美國發(fā)布的最新聯(lián)合網(wǎng)絡(luò)安全公告稱，截至今年 10 月，Play 勒索軟件已影響了約 300 家企業(yè)。

據(jù)悉，Play 勒索軟件采用雙重勒索模式，會(huì)在數(shù)據(jù)外流后對(duì)系統(tǒng)進(jìn)行加密，現(xiàn)已對(duì)北美、南美、歐洲和澳大利亞等眾多企業(yè)和關(guān)鍵基礎(chǔ)設(shè)施組織造成了影響。

Play 又名 Balloonfly / PlayCrypt，最早出現(xiàn)于 2022 年，曾利用微軟 Exchange 服務(wù)器（CVE-2022-41040 和 CVE-2022-41082）和 Fortinet 設(shè)備（CVE-2018-13379 和 CVE-2020-12812）的安全漏洞入侵企業(yè)并部署文件加密惡意軟件。

值得注意的是，該勒索軟件更多的是利用漏洞進(jìn)行攻擊，而不是使用釣魚郵件作為初始感染載體。根據(jù)Corvus公司公布的數(shù)據(jù)，該勒索軟件攻擊從2022年下半年的幾乎為零躍升至2023年上半年的近三分之一。

Play 勒索軟件組織使用雙重勒索模式

網(wǎng)絡(luò)安全公司Adlumin在上個(gè)月發(fā)布的一份報(bào)告中披露，該勒索軟件已經(jīng)完成了向勒索軟件即服務(wù)（RaaS）業(yè)務(wù)的轉(zhuǎn)型，正 "作為一項(xiàng)服務(wù) "提供給其他威脅行為者。

該勒索軟件的攻擊特點(diǎn)是使用公共和定制工具，如 AdFind 用于運(yùn)行 Active Directory 查詢，GMER、IOBit 和 PowerTool 用于禁用殺毒軟件，Grixba 用于枚舉網(wǎng)絡(luò)信息和收集有關(guān)安裝在機(jī)器上的備份軟件和遠(yuǎn)程管理工具的信息。

據(jù)觀察，黑客還會(huì)利用 Cobalt Strike、SystemBC 和 Mimikatz 進(jìn)行橫向移動(dòng)、數(shù)據(jù)滲出和加密步驟，并進(jìn)行后期利用。Play 勒索軟件組織使用雙重勒索模式，在數(shù)據(jù)外滲后對(duì)系統(tǒng)進(jìn)行加密。此外，該勒索軟件在實(shí)施勒索后的贖金說明內(nèi)容中，不包括贖金要求或支付說明，而是指示受害者通過電子郵件與威脅行為者聯(lián)系。

根據(jù) Malwarebytes 編制的統(tǒng)計(jì)數(shù)據(jù)，僅在今年 11 月，Play 已勒索了近 40 名受害者，但這數(shù)據(jù)明顯落后于其同行 LockBit 和 BlackCat（又名 ALPHV 和 Noberus）。

據(jù)了解，Karakurt 通過購買被盜登錄憑證、入侵經(jīng)紀(jì)人（又稱初始訪問經(jīng)紀(jì)人）、網(wǎng)絡(luò)釣魚和已知安全漏洞獲得初始網(wǎng)絡(luò)訪問權(quán)后，會(huì)放棄基于加密的攻擊，而是轉(zhuǎn)而進(jìn)行純粹的敲詐勒索。

政府方面表示：Karakurt 的受害者并未公布自己被入侵的情況；相反，一般都是Karakurt 的惡意行為者會(huì)自己來發(fā)布竊取數(shù)據(jù)的聲明，并威脅受害者支付贖金，否則將會(huì)把竊取的數(shù)據(jù)進(jìn)行公開。

勒索軟件的格局在不斷變化

無論是迫于外部壓力還是執(zhí)法部門的壓力，勒索軟件的格局都在不斷演變和變化，這一點(diǎn)不足為奇。BianLian、White Rabbit 和 Mario 三大勒索軟件團(tuán)伙合作開展針對(duì)上市金融服務(wù)公司的聯(lián)合勒索活動(dòng)就進(jìn)一步證明了這一點(diǎn)。

Resecurity在上周發(fā)布的一份報(bào)告中指出：這種合作模式的勒索活動(dòng)并不多見，但由于初始訪問經(jīng)紀(jì)人（IAB）與暗網(wǎng)上多個(gè)團(tuán)伙開展了合作，那么今后這樣的類似情況會(huì)變得越來越常見。

另一個(gè)可能引發(fā)勒索組織展開合作的因素是執(zhí)法干預(yù)，執(zhí)法干預(yù)就會(huì)產(chǎn)生很多網(wǎng)絡(luò)罪犯散居網(wǎng)絡(luò)之上。由于這些威脅行為者在網(wǎng)絡(luò)上“孤軍奮戰(zhàn)”，那么他們?cè)敢馀c對(duì)手合作也就實(shí)屬正常之舉了。