据澳大利亚和美国发布的最新联合网络安全咨询报告，截至2023年10月，Play 勒索软件背后的黑客影响了大约 300 个实体。

当局表示：“使用Play勒索软件的黑客采用双重勒索模式，在窃取数据后加密系统，影响了北美、南美、欧洲和澳大利亚的广泛业务和关键的基础设施组织。”

Play，又称为 Balloonfly 和 PlayCrypt，于 2022 年出现，利用 Microsoft Exchange 服务器（CVE-2022-41040 和 CVE-2022-41082）以及 Fortinet 设备（CVE-2018-13379 和 CVE-2020-12812）中的安全漏洞，侵入企业并部署文件加密恶意软件。

值得注意的是，根据 Corvus 的数据，勒索软件攻击越来越多地利用漏洞作为初始感染途径，而不是使用钓鱼邮件。这种方式从 2022 年下半年几乎为零，到 2023 年上半年增加到近三分之一。

网络安全公司Adlumin在上个月发布的一份报告中指出，他们“提供服务”给其他黑客，这个服务形成了“勒索软件即服务（RaaS）”运营的完整转变。

该组织策划的勒索软件攻击使用 AdFind 等公共和定制工具，运行 Active Directory 查询，使用Grixba 列举网络信息，通过GMER、IOBit 和 PowerTool 禁用防病毒软件，以及使用 Grixba 收集有关备份软件和远程管理工具在机器上安装情况的信息。

观察发现，这些黑客还进行了横向移动、数据外泄和加密步骤，依赖 Cobalt Strike、SystemBC 和 Mimikatz 进行攻击后利用。

“Play ransomware group 采用双重勒索模式，在外泄数据后加密系统，” 这些机构表示。“勒索信息中并不包括初始赎金要求或付款说明，而是指示受害者通过电子邮件联系威胁行为者。”

据 Malwarebytes 汇编的统计数据显示，Play 仅在 2023 年 11 月就已经攻击了近 40 个受害者，但明显少于于其同行 LockBit 和 BlackCat（又称 ALPHV 和 Noberus）。

此警报发布数天后，美国政府机构发布了有关 Karakurt 组的更新公告。该组以纯粹的勒索方式著称，避开了基于加密的攻击方式，而是在获得对网络的初始访问权限后，通过购买被盗的登录凭证、入侵经纪人（又称初始访问经纪人）、钓鱼和已知的安全漏洞等方式进行攻击。

政府表示：“Karakurt 的受害者并未报告受损机器或文件的加密情况；相反，Karakurt 的行为者声称窃取了数据，并威胁将其拍卖或公开发布，除非他们收到所要求的赎金。”

这些进展出现的同时，有人猜测 BlackCat 勒索软件可能成为执法行动的目标，因为其暗网泄露门户网站离线了五天。然而，网络犯罪集体将这次停机归咎于硬件故障。

此外，另一个新兴的名为 NoEscape 的勒索软件组织据称已经了退出这次网络攻击，有效地“窃取了赎金支付并关闭了该组织的网络面板和数据泄漏站点”，促使像 LockBit 这样的其他团伙招募他们以前的联盟成员。

勒索软件格局不断演变和转变，不管是否由于执法部门的外部压力，这都并不令人意外。这进一步证实了 BianLian、White Rabbit 和 Mario 勒索软件团伙在针对上市金融服务公司的联合勒索活动中的合作。

“这些合作式的勒索活动并不常见，但可能因暗网中的初始访问经纪人（IABs）与多个团体合作而变得更加普遍，” Resecurity 在上周发布的报告中指出。”导致更多合作的另一个因素可能是执法介入，这造成了网络犯罪分散的局面。这些黑客的被转移者可能更愿意与竞争对手合作。”

---