PlayCrypt RaaS
Az Adlumin bizonyítékokat talált arra vonatkozóan, hogy a Play ransomware-t (PlayCrypt) szolgáltatásként (Ransomware-as-a-Service) árusítják. A Play ransomware 2022-es azonosítása óta világszerte felelős a vállalatok és kormányzati szervezetek elleni támadásokért. Ha elérhetővé teszik olyan leányvállalatok számára, amelyek között lehetnek kifinomult hackerek, kevésbé kifinomult és eltérő szakértelmű hackerek, ez drámai növekedést eredményezhet az Oroszországhoz kapcsolódó Play ransomware-t használó támadások mennyisége.
Az elmúlt hónapokban az Adlumin azonosította és leállította azokat a PlayCrypt támadásokat, amelyeknek taktikája, technikája és eljárása közel azonos volt (TTP). A támadások közötti kis eltérések szokatlan hiánya arra utal, hogy azokat olyan leányvállalatok hajtják végre, akik megvásárolták a ransomware-as-a-service-t (RaaS), és lépésről lépésre követik a hozzá szállított játékkönyvekből származó utasításokat.
Az Adlumin által tapasztalt támadások alapján kis- és közepes méretű szervezeteket céloznak meg, és különösen veszélyeztetettek. A szolgáltatásként szállított zsarolóprogramok azonban gyakran könnyebben észlelhetők a telepítésükhöz használt általános módszerek miatt. A biztonsági csapatoknak figyelniük kell a kompromittálás jelzőit (IOC), köztük a rosszindulatú IP-címeket, tartományokat, TOR-címeket, e-maileket, hasheket és fájlokat.
Az Adlumin megosztotta az azonosításhoz szükséges mutatókat.