據澳大利亞和美國發布的最新聯合網絡安全公告稱，截至今年 10 月，Play 勒索軟件已影響了約 300 家企業。

據悉，Play 勒索軟件采用雙重勒索模式，會在數據外流后對系統進行加密，現已對北美、南美、歐洲和澳大利亞等眾多企業和關鍵基礎設施組織造成了影響。

Play 又名 Balloonfly / PlayCrypt，最早出現于 2022 年，曾利用微軟 Exchange 服務器（CVE-2022-41040 和 CVE-2022-41082）和 Fortinet 設備（CVE-2018-13379 和 CVE-2020-12812）的安全漏洞入侵企業并部署文件加密惡意軟件。

值得注意的是，該勒索軟件更多的是利用漏洞進行攻擊，而不是使用釣魚郵件作為初始感染載體。根據Corvus公司公布的數據，該勒索軟件攻擊從2022年下半年的幾乎為零躍升至2023年上半年的近三分之一。

Play 勒索軟件組織使用雙重勒索模式

網絡安全公司Adlumin在上個月發布的一份報告中披露，該勒索軟件已經完成了向勒索軟件即服務（RaaS）業務的轉型，正 "作為一項服務 "提供給其他威脅行為者。

該勒索軟件的攻擊特點是使用公共和定制工具，如 AdFind 用于運行 Active Directory 查詢，GMER、IOBit 和 PowerTool 用于禁用殺毒軟件，Grixba 用于枚舉網絡信息和收集有關安裝在機器上的備份軟件和遠程管理工具的信息。

據觀察，黑客還會利用 Cobalt Strike、SystemBC 和 Mimikatz 進行橫向移動、數據滲出和加密步驟，并進行后期利用。Play 勒索軟件組織使用雙重勒索模式，在數據外滲后對系統進行加密。此外，該勒索軟件在實施勒索后的贖金說明內容中，不包括贖金要求或支付說明，而是指示受害者通過電子郵件與威脅行為者聯系。

根據 Malwarebytes 編制的統計數據，僅在今年 11 月，Play 已勒索了近 40 名受害者，但這數據明顯落后于其同行 LockBit 和 BlackCat（又名 ALPHV 和 Noberus）。

據了解，Karakurt 通過購買被盜登錄憑證、入侵經紀人（又稱初始訪問經紀人）、網絡釣魚和已知安全漏洞獲得初始網絡訪問權后，會放棄基于加密的攻擊，而是轉而進行純粹的敲詐勒索。

政府方面表示：Karakurt 的受害者并未公布自己被入侵的情況；相反，一般都是Karakurt 的惡意行為者會自己來發布竊取數據的聲明，并威脅受害者支付贖金，否則將會把竊取的數據進行公開。

勒索軟件的格局在不斷變化

無論是迫于外部壓力還是執法部門的壓力，勒索軟件的格局都在不斷演變和變化，這一點不足為奇。BianLian、White Rabbit 和 Mario 三大勒索軟件團伙合作開展針對上市金融服務公司的聯合勒索活動就進一步證明了這一點。

Resecurity在上周發布的一份報告中指出：這種合作模式的勒索活動并不多見，但由于初始訪問經紀人（IAB）與暗網上多個團伙開展了合作，那么今后這樣的類似情況會變得越來越常見。

另一個可能引發勒索組織展開合作的因素是執法干預，執法干預就會產生很多網絡罪犯散居網絡之上。由于這些威脅行為者在網絡上“孤軍奮戰”，那么他們愿意與對手合作也就實屬正常之舉了。