Play 勒索软件商业化 - 现在作为一项服务提供给网络犯罪分子

名为 Play 的勒索软件病毒现在以“服务”的形式提供给其他犯罪组织。 “攻击之间异常缺乏哪怕是很小的差异，这表明这些攻击是由购买了勒索软件即服务 (RaaS) 并遵循剧本中的分步说明的附属机构执行的随它一起交付，”该网络安全公司在与《黑客新闻》分享的报告中表示。该调查结果基于 Adlumin 跟踪的各种 Play 勒索软件攻击，涵盖不同的领域，这些攻击采用了几乎相同的策略并以相同的顺序进行。这包括利用公共音乐文件夹（C:\...\public\music）隐藏恶意文件、使用相同的密码创建高权限帐户以及两次攻击以及相同的命令。
Play，也称为 Balloonfly 和 PlayCrypt，于 2022 年 6 月首次曝光，利用 Microsoft Exchange Server 中的安全漏洞 - 即 ProxyNotShell和 OWASSRF – 渗透网络并删除 AnyDesk 等远程管理工具，并最终删除勒索软件。


除了使用 Grixba 等自定义数据收集工具进行双重勒索之外，值得注意的方面使 Play 与其他勒索软件团伙区分开来：负责开发恶意软件的运营商也实施了攻击。因此，新的发展标志着一种转变，并完成了向 RaaS 操作的转变，使其成为网络犯罪分子有利可图的选择。“当 RaaS 运营商宣传勒索软件套件附带黑客所需的一切（包括文档、论坛、技术支持和赎金谈判支持）时，脚本小子就会忍不住尝试运气并运用他们的技能，”阿德鲁姆说道。

“而且，由于脚本小子的数量可能比“真正的黑客”还多，因此今天，企业和当局应该注意并为越来越多的事件做好准备。”