Эксперты компании Adlumin обнаружили, что шифровальщик Play (он же Balloonfly и PlayCrypt) теперь распространяется по схеме «вымогатель-как-услуга» (ransomware-as-a-service, RaaS). Дело в том, что исследователи заметили атаки, похожие друг на друга как две капли воды, и предполагается, что злоумышленники следуют пошаговым инструкциям, из купленных вместе с малварью учебных пособий.
«Необычное отсутствие даже небольших различий между атаками позволяет предположить, что они осуществляются аффилированными лицами, которые приобрели RaaS и теперь следуют пошаговым инструкциям из поставляемых вместе с ним учебных пособий», — пишут аналитики.
К таким выводам специалисты пришли после изучения ряда атак Play на организации в различных отраслях. Во всех случаях использовались практически идентичные тактики, в одинаковой последовательности.
В частности, для сокрытия вредоносного файла использовалась папка public music (C:\...\public\music), один и тот же пароль использовался для создания привилегированных учетных записей, а также хакеры использовали одни и те же команды.
Напомним, что впервые Play попал в после зрения ИБ-экспертов летом 2022 года. Малварь использовала уязвимости Microsoft Exchange Server (ProxyNotShell и OWASSRF) для проникновения в сети жертв и развертывания инструментов для удаленного администрирования (например, AnyDesk). В конечном итоге такие атаки заканчивалась развертыванием вымогателя.
Однако ранее отличительной особенностью Play являлось то, что разработчики малвари сами осуществляли все атаки, не прибегая для этого к услугам «партнеров». Теперь же Play переходит на схему RaaS, и исследователи предупреждают, что это плохая новость.
«Когда операторы RaaS рекламируют свои вымогательские наборы, в которые входит все необходимое для хакера (в том числе документация, форумы, техническая поддержка и поддержка в ходе переговоров о выкупе), у скрипт-кидди возникает соблазн попытать счастья и пустить в ход свои навыки, — пишут в Adlumin. — А поскольку скрипт-кидди сегодня, пожалуй, больше, чем "настоящих хакеров", предприятиям и государственным органам следует обратить на это внимание и подготовиться к росту количества инцидентов».
