Американското Федерално бюро за разследване актуализира съвместно предупреждение с CISA и Австралийския център за киберсигурност (ACSC), според което групировката зад зловредния софтуер Play (Playcrypt) е компрометирала около 900 организации към май 2025 г. Това е троен ръст спрямо докладваните жертви през октомври 2023 г.

Активност на групата Play от 2022 г. насам

Play ransomware се появи през юни 2022 г. и оттогава е извършил атаки срещу разнообразни бизнеси и критична инфраструктура в Северна и Южна Америка, както и в Европа. През 2024 г. групата бе сред най-активните ransomware операции в света.

ФБР подчертава, че в последните кампании престъпниците използват прекомпилирани версии на зловреден софтуер за всяка атака, с което значително затрудняват откриването от антивирусни и EDR решения.

Техники за първоначален достъп и натиск върху жертвите

Play ransomware разчита на инициални достъпни брокери (Initial Access Brokers), които проникват в системи чрез експлоатиране на уязвимости като:

• CVE-2024-57726

• CVE-2024-57727

• CVE-2024-57728

Тези уязвимости засягат инструменти за отдалечено наблюдение и управление (RMM), като например SimpleHelp, използван широко в малки и средни бизнеси. В една от описаните атаки, неизвестни нападатели са създали администраторски акаунти и са инсталирали Sliver beacons, което предполага подготвителна фаза за бъдещо криптиране с ransomware.

Жертвите често биват заплашвани директно по телефон, а групата изисква откуп, за да не публикува откраднатата чувствителна информация в т.нар. dark web leak site.

Play като Ransomware-as-a-Service (RaaS)

Групата работи по модела Ransomware-as-a-Service (RaaS), като партньори (афилиейти) извършват самите атаки, а централната структура предоставя инструменти и логистика. Характерно за Play е, че не използва Tor-базирани портали за преговори, а предпочита имейл комуникация с жертвите.

Друга тяхна отличителна тактика е използването на собствен инструмент за копиране от Volume Shadow Copy, който позволява кражба на файлове дори когато те се използват от други приложения.

Известни жертви

Сред по-известните пострадали организации са:

• Rackspace (облачни услуги)

• Град Оукланд, Калифорния

• Окръг Далас

• Arnold Clark (търговец на автомобили)

• Град Антверпен, Белгия

• Krispy Kreme

• Microchip Technology (американски доставчик на полупроводници)

Препоръки за защита

ФБР, CISA и ACSC съветват организациите да предприемат следните ключови мерки за защита:

1. Редовно актуализиране на операционни системи, приложения и фърмуер, особено при критични системи.

2. Многофакторна автентикация (MFA) за всички достъпи, особено към VPN, уеб поща и системи с административни права.

3. Офлайн архиви (backups) на данни, които се тестват редовно чрез процедура за възстановяване.

4. Мониторинг на необичайна мрежова активност, особено към RMM инструменти.

Заключение

Фактът, че броят на жертвите на Play ransomware е троен само за година и половина, подчертава нарастващата заплаха от този тип атаки. Комбинацията от технически усъвършенствани средства, психологически натиск върху жертвите и готовността за бърза адаптация правят Play едно от най-опасните лица на съвременната киберпрестъпност.