Play 勒索软件商业化作为一项服务提供给网络犯罪分子

Adlumin 发现的新证据显示，名为Play 的勒索软件现在正以“服务”的形式提供给其他威胁行为者。

“攻击之间异常缺乏哪怕是很小的差异，这表明这些攻击是由购买了勒索软件即服务 (RaaS) 并按照随其提供的剧本中的分步说明进行的附属机构执行的，”网络安全公司在与黑客新闻分享的一份报告中表示。

该调查结果基于 Adlumin 跟踪的各种 Play 勒索软件攻击，涵盖不同的领域，这些攻击采用了几乎相同的策略并以相同的顺序进行。

这包括利用公共音乐文件夹（C:...publicmusic）隐藏恶意文件、使用相同的密码创建高权限帐户以及两次攻击以及相同的命令。

Play也称为 Balloonfly 和 PlayCrypt，于 2022 年 6 月首次曝光，利用 Microsoft Exchange Server 中的安全缺陷（即ProxyNotShell 和 OWASSRF）渗透网络并丢弃 AnyDesk 等远程管理工具，并最终部署勒索软件。

除了使用 Grixba 等自定义数据收集工具进行双重勒索之外，Play 与其他勒索软件组织的一个显着区别是，负责开发恶意软件的运营商也实施了攻击。

因此，新的发展标志着一种转变，并完成了向 RaaS 操作的转变，使其成为网络犯罪分子有利可图的选择。

Adlumin 表示：“当 RaaS 运营商宣传的勒索软件套件包含黑客所需的一切，包括文档、论坛、技术支持和赎金谈判支持时，脚本小子就会忍不住想碰碰运气，并运用自己的技能。”

“由于当今的脚本小子可能比‘真正的黑客’还多，企业和当局应该注意并为越来越多的事件做好准备。”

原文始发于微信公众号（河南等级保护测评）：Play 勒索软件商业化作为一项服务提供给网络犯罪分子