据澳大利亚和美国发布的最新联合网络安全公告称，截至今年 10 月，Play 勒索软件已影响了约 300 家企业。

据悉，Play 勒索软件采用双重勒索模式，会在数据外流后对系统进行加密，现已对北美、南美、欧洲和澳大利亚等众多企业和关键基础设施组织造成了影响。

Play 又名 Balloonfly / PlayCrypt，最早出现于 2022 年，曾利用微软 Exchange 服务器（CVE-2022-41040 和 CVE-2022-41082）和 Fortinet 设备（CVE-2018-13379 和 CVE-2020-12812）的安全漏洞入侵企业并部署文件加密恶意软件。

值得注意的是，该勒索软件更多的是利用漏洞进行攻击，而不是使用钓鱼邮件作为初始感染载体。根据Corvus公司公布的数据，该勒索软件攻击从2022年下半年的几乎为零跃升至2023年上半年的近三分之一。

Play 勒索软件组织使用双重勒索模式

网络安全公司Adlumin在上个月发布的一份报告中披露，该勒索软件已经完成了向勒索软件即服务（RaaS）业务的转型，正 "作为一项服务 "提供给其他威胁行为者。

该勒索软件的攻击特点是使用公共和定制工具，如 AdFind 用于运行 Active Directory 查询，GMER、IOBit 和 PowerTool 用于禁用杀毒软件，Grixba 用于枚举网络信息和收集有关安装在机器上的备份软件和远程管理工具的信息。

据观察，黑客还会利用 Cobalt Strike、SystemBC 和 Mimikatz 进行横向移动、数据渗出和加密步骤，并进行后期利用。Play 勒索软件组织使用双重勒索模式，在数据外渗后对系统进行加密。此外，该勒索软件在实施勒索后的赎金说明内容中，不包括赎金要求或支付说明，而是指示受害者通过电子邮件与威胁行为者联系。

根据 Malwarebytes 编制的统计数据，仅在今年 11 月，Play 已勒索了近 40 名受害者，但这数据明显落后于其同行 LockBit 和 BlackCat（又名 ALPHV 和 Noberus）。

据了解，Karakurt 通过购买被盗登录凭证、入侵经纪人（又称初始访问经纪人）、网络钓鱼和已知安全漏洞获得初始网络访问权后，会放弃基于加密的攻击，而是转而进行纯粹的敲诈勒索。

政府方面表示：Karakurt 的受害者并未公布自己被入侵的情况；相反，一般都是Karakurt 的恶意行为者会自己来发布窃取数据的声明，并威胁受害者支付赎金，否则将会把窃取的数据进行公开。

勒索软件的格局在不断变化

无论是迫于外部压力还是执法部门的压力，勒索软件的格局都在不断演变和变化，这一点不足为奇。BianLian、White Rabbit 和 Mario 三大勒索软件团伙合作开展针对上市金融服务公司的联合勒索活动就进一步证明了这一点。

Resecurity在上周发布的一份报告中指出：这种合作模式的勒索活动并不多见，但由于初始访问经纪人（IAB）与暗网上多个团伙开展了合作，那么今后这样的类似情况会变得越来越常见。

另一个可能引发勒索组织展开合作的因素是执法干预，执法干预就会产生很多网络罪犯散居网络之上。由于这些威胁行为者在网络上“孤军奋战”，那么他们愿意与对手合作也就实属正常之举了。