据澳大利亚和美国发布的最新联合网络安全咨询报告,截至2023年10月,Play 勒索软件背后的黑客影响了大约 300 个实体。

当局表示:“使用Play勒索软件的黑客采用双重勒索模式,在窃取数据后加密系统,影响了北美、南美、欧洲和澳大利亚的广泛业务和关键的基础设施组织。”

Play,又称为 Balloonfly 和 PlayCrypt,于 2022 年出现,利用 Microsoft Exchange 服务器(CVE-2022-41040 和 CVE-2022-41082)以及 Fortinet 设备(CVE-2018-13379 和 CVE-2020-12812)中的安全漏洞,侵入企业并部署文件加密恶意软件。

值得注意的是,根据 Corvus 的数据,勒索软件攻击越来越多地利用漏洞作为初始感染途径,而不是使用钓鱼邮件。这种方式从 2022 年下半年几乎为零,到 2023 年上半年增加到近三分之一。

Play 勒索软件组织使用双重勒索模式

网络安全公司Adlumin在上个月发布的一份报告中指出,他们“提供服务”给其他黑客,这个服务形成了“勒索软件即服务(RaaS)”运营的完整转变。

该组织策划的勒索软件攻击使用 AdFind 等公共和定制工具,运行 Active Directory 查询,使用Grixba 列举网络信息,通过GMER、IOBit 和 PowerTool 禁用防病毒软件,以及使用 Grixba 收集有关备份软件和远程管理工具在机器上安装情况的信息。

观察发现,这些黑客还进行了横向移动、数据外泄和加密步骤,依赖 Cobalt Strike、SystemBC 和 Mimikatz 进行攻击后利用。

“Play ransomware group 采用双重勒索模式,在外泄数据后加密系统,” 这些机构表示。“勒索信息中并不包括初始赎金要求或付款说明,而是指示受害者通过电子邮件联系威胁行为者。”

据 Malwarebytes 汇编的统计数据显示,Play 仅在 2023 年 11 月就已经攻击了近 40 个受害者,但明显少于于其同行 LockBit 和 BlackCat(又称 ALPHV 和 Noberus)。

此警报发布数天后,美国政府机构发布了有关 Karakurt 组的更新公告。该组以纯粹的勒索方式著称,避开了基于加密的攻击方式,而是在获得对网络的初始访问权限后,通过购买被盗的登录凭证、入侵经纪人(又称初始访问经纪人)、钓鱼和已知的安全漏洞等方式进行攻击。

政府表示:“Karakurt 的受害者并未报告受损机器或文件的加密情况;相反,Karakurt 的行为者声称窃取了数据,并威胁将其拍卖或公开发布,除非他们收到所要求的赎金。”

这些进展出现的同时,有人猜测 BlackCat 勒索软件可能成为执法行动的目标,因为其暗网泄露门户网站离线了五天。然而,网络犯罪集体将这次停机归咎于硬件故障。

此外,另一个新兴的名为 NoEscape 的勒索软件组织据称已经了退出这次网络攻击,有效地“窃取了赎金支付并关闭了该组织的网络面板和数据泄漏站点”,促使像 LockBit 这样的其他团伙招募他们以前的联盟成员。

勒索软件的格局在不断变化

勒索软件格局不断演变和转变,不管是否由于执法部门的外部压力,这都并不令人意外。这进一步证实了 BianLian、White Rabbit 和 Mario 勒索软件团伙在针对上市金融服务公司的联合勒索活动中的合作。

“这些合作式的勒索活动并不常见,但可能因暗网中的初始访问经纪人(IABs)与多个团体合作而变得更加普遍,” Resecurity 在上周发布的报告中指出。”导致更多合作的另一个因素可能是执法介入,这造成了网络犯罪分散的局面。这些黑客的被转移者可能更愿意与竞争对手合作。”