Play становится все более популярным игроком на рынке вымогательского ПО, причем его операторы, скорее всего, продолжат использовать его и в будущем.
В июле 2022 г. исследователи TrendMicro изучили случаи появления в Латинской Америке программ-вымогателей, направленных на государственные организации, которые первоначально были приписаны новой программе под названием Play ransomware, название которой обусловлено ее поведением: после шифрования файлов она добавляет расширение ".play". Кроме того, в примечании к выкупу содержится единственное слово "PLAY", а также адрес электронной почты группы разработчиков.
По наблюдениям компании TrendMicro, группа разработчиков вымогательского ПО Play пополнила свой инструментарий рядом новых средств и эксплойтов, включая уязвимости ProxyNotShell, OWASSRF и удаленное выполнение кода Microsoft Exchange Server. В последнее время стали использоваться такие новые инструменты, как Grixba, пользовательский сетевой сканер и infostealer, а также инструмент управления VSS с открытым исходным кодом AlphaVSS.
Indicators of Compromise
SHA256
- 006ae41910887f0811a3ba2868ef9576bbd265216554850112319af878f06e55
- 094d1476331d6f693f1d546b53f1c1a42863e6cde014e2ed655f3cbe63e5ecde
- 3e6317229d122073f57264d6f69ae3e145decad3666ddad8173c942e80588e69
- 5573cbe13c0dbfd3d0e467b9907f3a89c1c133c774ada906ea256e228ae885d5
- 7d14b98cdc1b898bd0d9be80398fc59ab560e8c44e0a9dedac8ad4ece3d450b0
- c316627897a78558356662a6c64621ae25c3c3893f4b363a4b3f27086246038d
- c92c158d7c37fea795114fa6491fe5f145ad2f8c08776b18ae79db811e8e36a3
- d4a0fe56316a2c45b9ba9ac1005363309a3edc7acf9e4df64d326a0ff273e80f
- dcaf62ee4637397b2aaa73dbe41cfb514c71565f1d4770944c9b678cd2545087
- e4f32fe39ce7f9f293ccbfde30adfdc36caf7cfb6ccc396870527f45534b840b
- e641b622b1f180fe189e3f39b3466b16ca5040b5a1869e5d30c92cca5727d3f0
- e8a3e804a96c716a3e9b69195db6ffb0d33e2433af871e4d4e1eab3097237173
- f18bc899bcacd28aaa016d220ea8df4db540795e588f8887fe8ee9b697ef819f
- f6072ff57c1cfe74b88f521d70c524bcbbb60c561705e9febe033f51131be408