300 взломов за 1,5 года: история неуловимых вымогателей Play

Группировка Play, ответственная за ряд разрушительных атак на крупные американские города, совершила более 300 успешных взломов с июня 2022 года. Об этом сообщают ФБР, агентства кибербезопасности в США и Австралии в совместном предупреждении о деятельности группы Play

В этом году группа «посетила» города Окленд , Лоуэлл и Даллас , которые в течение нескольких дней боролись с зашифрованными устройствами и украденными данными граждан. Властям города Окленд даже пришлось объявить в городе чрезвычайное положение. Госорганы Швейцарии также подверглись краже данных во время атаки на одного из своих IT-провайдеров.

По данным агентств, группа атаковала широкий круг бизнес-отрасли и критической инфраструктуры в Северной и Южной Америке, а также в Европе за последние 1,5 года. ФБР известно о примерно 300 жертвах по состоянию на октябрь 2023 года. В Австралии первый инцидент с участием группы Play был замечен в апреле, последний - в ноябре.

Группа действует более осторожно, чем другие киберпреступники. В большинстве случаев Play не включает свои требования в записку о выкупе, а вместо этого просит жертв связаться с вымогателями по электронной почте, заканчивающейся на @gmx[.]de.

Учитывая заявления на сайте утечки данных группы, специалисты отметили, что Play предположительно является закрытой группой, созданной для того, чтобы «гарантировать тайну сделок». Вымогатели используют модель двойного вымогательства, шифруя системы после кражи данных.

Типично группа использует украденные учётные данные и общедоступные приложения, нацеливаясь на уязвимости в популярных продуктах, таких как уязвимости FortiOS CVE-2018-13379 и CVE-2020-12812 , а также уязвимости ProxyNotShell в инструментах Microsoft.

Злоумышленники используют различные инструменты для кражи информации, а также для сканирования и отключения антивирусного ПО. После разделения скомпрометированных данных на меньшие части и их переноса в управляемые хакерами аккаунты, группа обычно добавляет расширение .play к именам файлов.

Выкупы выплачиваются в криптовалюте на адреса кошельков, предоставленные взломщиками. Если жертва отказывается платить выкуп, злоумышленники угрожают опубликовать украденные данные на своем сайте утечки в сети Tor

Когда группа Play впервые появилась в середине 2022 года, она нацелилась на государственные органы в Латинской Америке. Недавно группировка привлекла внимание из-за разрушительной атаки на город Окленд, который потратил недели на восстановление после инцидента. А облачный провайдер Rackspace Technology Inc. потратил $10,8 млн. на устранение последствий масштабной кибератаки Play.

В марте Play опубликовала 10 ГБ данных правительства Окленда после отказа властей города выплачивать выкуп. Утечка включала конфиденциальные данные, украденные из полицейского управления города, номера водительских прав, номера социального страхования и даже информацию о выборных должностных лицах города.