據(jù)澳大利亞和美國發(fā)布的最新聯(lián)合網(wǎng)絡安全公告稱，截至今年 10 月，Play 勒索軟件已影響了約 300 家企業(yè)。

據(jù)悉，Play 勒索軟件采用雙重勒索模式，會在數(shù)據(jù)外流后對系統(tǒng)進行加密，現(xiàn)已對北美、南美、歐洲和澳大利亞等眾多企業(yè)和關鍵基礎設施組織造成了影響。

Play 又名 Balloonfly / PlayCrypt，最早出現(xiàn)于 2022 年，曾利用微軟 Exchange 服務器（CVE-2022-41040 和 CVE-2022-41082）和 Fortinet 設備（CVE-2018-13379 和 CVE-2020-12812）的安全漏洞入侵企業(yè)并部署文件加密惡意軟件。

值得注意的是，該勒索軟件更多的是利用漏洞進行攻擊，而不是使用釣魚郵件作為初始感染載體。根據(jù)Corvus公司公布的數(shù)據(jù)，該勒索軟件攻擊從2022年下半年的幾乎為零躍升至2023年上半年的近三分之一。

Play 勒索軟件組織使用雙重勒索模式

網(wǎng)絡安全公司Adlumin在上個月發(fā)布的一份報告中披露，該勒索軟件已經(jīng)完成了向勒索軟件即服務（RaaS）業(yè)務的轉(zhuǎn)型，正 "作為一項服務 "提供給其他威脅行為者。

該勒索軟件的攻擊特點是使用公共和定制工具，如 AdFind 用于運行 Active Directory 查詢，GMER、IOBit 和 PowerTool 用于禁用殺毒軟件，Grixba 用于枚舉網(wǎng)絡信息和收集有關安裝在機器上的備份軟件和遠程管理工具的信息。

據(jù)觀察，黑客還會利用 Cobalt Strike、SystemBC 和 Mimikatz 進行橫向移動、數(shù)據(jù)滲出和加密步驟，并進行后期利用。Play 勒索軟件組織使用雙重勒索模式，在數(shù)據(jù)外滲后對系統(tǒng)進行加密。此外，該勒索軟件在實施勒索后的贖金說明內(nèi)容中，不包括贖金要求或支付說明，而是指示受害者通過電子郵件與威脅行為者聯(lián)系。

根據(jù) Malwarebytes 編制的統(tǒng)計數(shù)據(jù)，僅在今年 11 月，Play 已勒索了近 40 名受害者，但這數(shù)據(jù)明顯落后于其同行 LockBit 和 BlackCat（又名 ALPHV 和 Noberus）。

據(jù)了解，Karakurt 通過購買被盜登錄憑證、入侵經(jīng)紀人（又稱初始訪問經(jīng)紀人）、網(wǎng)絡釣魚和已知安全漏洞獲得初始網(wǎng)絡訪問權(quán)后，會放棄基于加密的攻擊，而是轉(zhuǎn)而進行純粹的敲詐勒索。

政府方面表示：Karakurt 的受害者并未公布自己被入侵的情況；相反，一般都是Karakurt 的惡意行為者會自己來發(fā)布竊取數(shù)據(jù)的聲明，并威脅受害者支付贖金，否則將會把竊取的數(shù)據(jù)進行公開。

勒索軟件的格局在不斷變化

無論是迫于外部壓力還是執(zhí)法部門的壓力，勒索軟件的格局都在不斷演變和變化，這一點不足為奇。BianLian、White Rabbit 和 Mario 三大勒索軟件團伙合作開展針對上市金融服務公司的聯(lián)合勒索活動就進一步證明了這一點。

Resecurity在上周發(fā)布的一份報告中指出：這種合作模式的勒索活動并不多見，但由于初始訪問經(jīng)紀人（IAB）與暗網(wǎng)上多個團伙開展了合作，那么今后這樣的類似情況會變得越來越常見。

另一個可能引發(fā)勒索組織展開合作的因素是執(zhí)法干預，執(zhí)法干預就會產(chǎn)生很多網(wǎng)絡罪犯散居網(wǎng)絡之上。由于這些威脅行為者在網(wǎng)絡上“孤軍奮戰(zhàn)”，那么他們愿意與對手合作也就實屬正常之舉了。