Play Ransomware: киберпреступники активизировались, атакуя бизнес и критическую инфраструктуру

Play Ransomware, также известная как Playcrypt, действует по модели двойного шантажа: сначала крадет конфиденциальные данные, а затем шифрует файлы жертв. В случае отказа от выплаты выкупа преступники угрожают опубликовать украденную информацию на своем сайте в даркнете. Особенностью этой группировки является персонализированный подход: каждая жертва получает уникальный email для связи, а в некоторых случаях злоумышленники звонят представителям компаний, оказывая психологическое давление.

Среди основных векторов атак эксперты выделяют эксплуатацию уязвимостей в FortiOS (CVE-2018-13379, CVE-2020-12812) и Microsoft Exchange (ProxyNotShell), а также использование украденных учетных данных для доступа через RDP и VPN. В январе 2025 года группировка начала активно использовать уязвимости в инструменте удаленного управления SimpleHelp (CVE-2024-57727) для выполнения произвольного кода на атакуемых системах.

Для защиты от атак специалисты рекомендуют немедленно устранять известные уязвимости, внедрять многофакторную аутентификацию (MFA) для всех критических сервисов, регулярно обновлять ПО и проводить оценку защищенности инфраструктуры. Также крайне важно иметь резервные копии данных в изолированной среде и разработать план восстановления на случай инцидента.

По последним данным, с мая 2025 года число пострадавших от действий Play Ransomware достигло 900 организаций. Эксперты предупреждают: киберпреступники постоянно совершенствуют свои инструменты, перекомпилируя вредоносное ПО для каждой атаки, что усложняет его обнаружение антивирусными решениями. Владельцам инфраструктуры на базе VMware ESXi также следует быть настороже - злоумышленники используют специализированную версию ransomware, которая отключает виртуальные машины перед шифрованием критичных файлов.

SHA1

• 3d86555acaa19aeddb5896071d1e3711b062edbe

SHA256

• 0e408aed1acf902a9f97abf71cf0dd354024109c5d52a79054c421be35d93549
• 1409e010675bf4a40db0a845b60db3aae5b302834e80adeec884aebc55eccbf7
• 372f7b45a141bb0709d578bc716cbca03104258822c4290ccbeb600223850158
• 453257c3494addafb39cb6815862403e827947a1e7737eb8168cd10522465deb
• 47b7b2dd88959cd7224a5542ae8d5bce928bfc986bf0d0321532a7515c244a1e
• 511f63455ca4f83b0347b65dda17585ad02591a9f23d8e234e5ce1321aa3381a
• 6de8dd5757f9a3ac5e2ac28e8a77682d7a29be25c106f785a061dcf582a20dc6
• 75404543de25513b376f097ceb383e8efb9c9b95da8945fd4aa37c7b2f226212
• 75b525b220169f07aecfb3b1991702fbd9a1e170caf0040d1fcb07c3e819f54a
• 7a42f96599df8090cf89d6e3ce4316d24c6c00e499c8557a2e09d61c00c11986
• 7dea671be77a2ca5772b86cf8831b02bff0567bce6a3ae023825aa40354f8aca
• 859165041d75fba3759c5533e324225f355c8a07b4645b984192ad6bef06db1a
• 90040340ee101cac7831d7035230ac8ad4224d432e5636f34f13aa1c4a0c2041
• 967daff362e63ff45526f585b7944488ace1bb5bb5b30fa40d56557f1c538d09
• c59f3c8d61d940b56436c14bc148c1fe98862921b8f7bad97fbc96b31d71193c