A variedade de ransomware conhecida como Play agora a ser oferecida a outros atores de ameaças “como um serviço”, revelaram novas evidências descobertas pela empresa Adlumin.
A falta incomum de pequenas variações entre os ataques sugere que eles estão a ser realizados por afiliados que compraram o ransomware como serviço (RaaS) e estão a seguir instruções passo a passo dos manuais entregues com ele.
As descobertas são baseadas em vários ataques de ransomware do Play rastreados pela empresa Adlumin, abrangendo diferentes setores que incorporaram táticas quase idênticas e na mesma sequência.
Isso inclui o uso da pasta pública de música (C:\…\public\music) para ocultar o arquivo malicioso, a mesma senha para criar contas de alto privilégio e ambos os ataques e os mesmos comandos.
O Play, também chamado de Balloonfly e PlayCrypt, veio à tona pela primeira vez em junho de 2022, aproveitando falhas de segurança no Microsoft Exchange Server – ou seja, ProxyNotShell e OWASSRF – para se infiltrar em redes e descartar ferramentas de administração remota como AnyDesk e, por fim, implantar o ransomware.
Além de usar ferramentas personalizadas de coleta de dados como o Grixba para dupla extorsão, um aspecto notável que diferenciava o Play de outros grupos de ransomware era o fato de que os operadores responsáveis pelo desenvolvimento do malware também realizavam os ataques.
O novo desenvolvimento, portanto, marca uma mudança e completa sua transformação em uma operação RaaS, tornando-se uma opção lucrativa para os cibercriminosos.
Quando os operadores de RaaS anunciam kits de ransomware que vêm com tudo que um hacker precisa, incluindo documentação, fóruns, suporte técnico e suporte para negociação de resgate, os script kiddies ficarão tentados a tentar a sorte e colocar suas habilidades em prática.
E como provavelmente há mais script kiddies do que ‘hackers reais’ hoje, as empresas e as autoridades deveriam tomar nota e preparar-se para uma onda crescente de incidentes.