Play勒索軟件組織，又被稱為Playcrypt，從2022年6月以來一直持續攻擊并影響了全球超過300家企業組織以及重要的網絡基礎設施。日前，美國聯邦調查局（FBI）、網絡安全與基礎設施安全局（CISA）和澳大利亞網絡安全中心（ASD's ACSC）聯合發布了一份安全提醒公告，要求企業組織加強對Play勒索軟件組織的防護，并給出了相關的防護建議。

圖片

據了解，Play 勒索軟件攻擊事件最早是在今年 4 月被發現，而最近一次被曝光則是在不久前的11月份，目前累計受害企業數量已經超過300家。盡管Play勒索軟件組織的地下數據泄漏網站顯示，為了“保證交易的保密性”，網站處于非開放狀態。但調查人員發現，使用Play勒索軟件的威脅行為者通常會采用雙重勒索策略，并在未滿足贖金要求時非法公開或出售受害企業的數據。

Play 勒索軟件攻擊者首先通過 Microsoft Exchange（ProxyNotShell [CVE-2022-4 1040 和 CVE-2022-41082]）和 FortiOS（CVE-2018-13379 和 CVE-2020-12812）中的已知漏洞來獲取受害者計算機訪問權限，然后加密數據。在對受害企業的初始通知中并不包括贖金要求和付款說明，受害者被告知向攻擊者發送電子郵件進行進一步的聯系。

值得注意的是，大多數的Play勒索軟件是利用組織面向外部的服務，如虛擬專用網絡（VPN）和遠程桌面協議（RDP）獲得訪問權限。Play勒索軟件攻擊者也會使用 AdFind 等工具來執行 Active Directory 查詢，并使用信息竊取程序 Grixba 來枚舉網絡信息并掃描防病毒軟件。此外，還利用 GMER、IOBit 和 PowerTool 等工具來刪除日志文件并禁用防病毒軟件。

緩解措施

為了減輕Play勒索軟件爆發的可能性和影響，FBI在公告中建議企業組織實施以下緩解措施：

• 盡快修復已知的可被利用漏洞；
• 盡可能為所有服務啟用多重身份驗證 （MFA），特別是針對 Webmail、VPN 和訪問關鍵系統的使用賬戶；
• 及時修補和更新軟件應用程序到最新版本，并定期進行漏洞評估。