Play勒索軟件組織，又被稱為Playcrypt，從2022年6月以來一直持續(xù)攻擊并影響了全球超過300家企業(yè)組織以及重要的網(wǎng)絡(luò)基礎(chǔ)設(shè)施。日前，美國聯(lián)邦調(diào)查局（FBI）、網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局（CISA）和澳大利亞網(wǎng)絡(luò)安全中心（ASD's ACSC）聯(lián)合發(fā)布了一份安全提醒公告，要求企業(yè)組織加強(qiáng)對Play勒索軟件組織的防護(hù)，并給出了相關(guān)的防護(hù)建議。

圖片

據(jù)了解，Play 勒索軟件攻擊事件最早是在今年 4 月被發(fā)現(xiàn)，而最近一次被曝光則是在不久前的11月份，目前累計(jì)受害企業(yè)數(shù)量已經(jīng)超過300家。盡管Play勒索軟件組織的地下數(shù)據(jù)泄漏網(wǎng)站顯示，為了“保證交易的保密性”，網(wǎng)站處于非開放狀態(tài)。但調(diào)查人員發(fā)現(xiàn)，使用Play勒索軟件的威脅行為者通常會(huì)采用雙重勒索策略，并在未滿足贖金要求時(shí)非法公開或出售受害企業(yè)的數(shù)據(jù)。

Play 勒索軟件攻擊者首先通過 Microsoft Exchange（ProxyNotShell [CVE-2022-4 1040 和 CVE-2022-41082]）和 FortiOS（CVE-2018-13379 和 CVE-2020-12812）中的已知漏洞來獲取受害者計(jì)算機(jī)訪問權(quán)限，然后加密數(shù)據(jù)。在對受害企業(yè)的初始通知中并不包括贖金要求和付款說明，受害者被告知向攻擊者發(fā)送電子郵件進(jìn)行進(jìn)一步的聯(lián)系。

值得注意的是，大多數(shù)的Play勒索軟件是利用組織面向外部的服務(wù)，如虛擬專用網(wǎng)絡(luò)（VPN）和遠(yuǎn)程桌面協(xié)議（RDP）獲得訪問權(quán)限。Play勒索軟件攻擊者也會(huì)使用 AdFind 等工具來執(zhí)行 Active Directory 查詢，并使用信息竊取程序 Grixba 來枚舉網(wǎng)絡(luò)信息并掃描防病毒軟件。此外，還利用 GMER、IOBit 和 PowerTool 等工具來刪除日志文件并禁用防病毒軟件。

緩解措施

為了減輕Play勒索軟件爆發(fā)的可能性和影響，F(xiàn)BI在公告中建議企業(yè)組織實(shí)施以下緩解措施：

• 盡快修復(fù)已知的可被利用漏洞；
• 盡可能為所有服務(wù)啟用多重身份驗(yàn)證 （MFA），特別是針對 Webmail、VPN 和訪問關(guān)鍵系統(tǒng)的使用賬戶；
• 及時(shí)修補(bǔ)和更新軟件應(yīng)用程序到最新版本，并定期進(jìn)行漏洞評估。