Grupa koja stoji iza Play ransomware-a napravila je oko 900 žrtava tokom protekle tri godine, prema ažuriranom bezbjednosnom upozorenju vlada Sjedinjenih Američkih Država i Australije.
Aktivna od juna 2022. godine i poznata i kao Playcrypt, vjeruje se da je ova grupa zatvorenog tipa, te da koristi taktiku dvostruke ucjene, koja uključuje iznošenje podataka žrtava i njihovu upotrebu za ucjenu, pored šifrovanja sistema.
U decembru 2023. godine, američka agencija za sajber bezbjednost CISA, FBI i Australski centar za sajber bezbjednost (ACSC) objavili su upozorenje o taktikama, tehnikama i procedurama (TTP) koje su primijećene u napadima Play ransomware-a, navodeći da je grupa do oktobra 2023. imala oko 300 žrtava.
U srijedu su ove vladine agencije ažurirale upozorenje, dodajući TTP-ove viđene u najnovijim napadima, uz napomenu da je ova grupa postala jedna od najaktivnijih ransomware grupa u 2024. godini.
„Zaključno sa majem 2025. godine, FBI je bio upoznat sa približno 900 pogođenih entiteta koje su navodno eksploatisali hakeri ransomware napada“, navodi se u ažuriranom upozorenju.
Posrednici za inicijalni pristup povezani sa Play grupom, kao i sa drugim ransomware grupama, primijećeni su kako eksploatišu tri ranjivosti u softveru za daljinsko praćenje i upravljanje (RMM) – SimpleHelp, navodi se u upozorenju.
Ranjivosti označene kao CVE-2024-57727, CVE-2024-57728 i CVE-2024-57726 mogu se povezati u lancu kako bi omogućile povišavanje privilegija do administratorskog nivoa i izvršavanje proizvoljnog koda, čime se u potpunosti kompromituju ranjivi sistemi.
Ažurirano upozorenje takođe upozorava da operateri Play ransomware-a rekompajliraju ransomware za svaki napad, što im omogućava da izbjegnu detekciju.
Play ransomware žrtve, kako navode nadležne agencije, dobijaju jedinstvene @gmx.de ili @web[.]de email adrese za komunikaciju, a neke od njih se kontaktiraju i putem telefona radi ucjene.
„Ciljevi Play ransomware-a redovno dobijaju telefonske pozive od hakera koji ih ohrabruju da plate i prijete objavljivanjem informacija kompanije. Ovi pozivi mogu biti usmjereni na različite brojeve unutar organizacije, uključujući i one otkrivene putem otvorenih izvora, poput službi za pomoć korisnicima“, navodi se u upozorenju.
Tri agencije takođe upozoravaju na ESXi varijantu Play ransomware-a koja gasi sve virtuelne mašine (VM) i šifruje fajlove koji su s njima povezani, koristeći jedinstvene ključeve po fajlu, koji se nasumično generišu.
„Kao i Windows varijanta Play ransomware-a, ESXi varijanta mora biti rekopajlirana za svaku kampanju. Putem komandnih parametara, binarni fajl podržava dodatne funkcionalnosti koje se vjerovatno koriste za razvoj i debagovanje, uključujući izuzimanje određenih VM-ova iz šifrovanja, ciljanje samo jednog fajla, ili preskakanje provjere ekstenzije fajla i pokušaj šifrovanja svih fajlova“, navodi se u upozorenju.
Izvor: SecurityWeek
