Play 勒索病毒团伙对美国市政服务的威胁

关键要点

• Play 勒索病毒团伙过去 17 个月内攻击了近 300 个组织。
• 该团伙对美国多个城市的攻击引发关注，其中包括加州的奥克兰、马萨诸塞州的洛威尔和德克萨斯州的达拉斯县。
• Play 勒索病毒团伙采用双重勒索模型，先窃取数据再加密系统，要求受害者通过电子邮件联系。
• 该团伙利用多个已知漏洞进行攻击，推荐企业采取措施防范其攻击。

今年，针对美国市政服务的多起破坏性攻击只是 Play 勒索病毒团伙活动的冰山一角。根据 FBI 的报告，该团伙在 17 个月内袭击了几乎 300 个组织。

这个威胁团伙今年因对加州的 、马萨诸塞州的 和德克萨斯州的 的攻击而引起了媒体的关注。此外，还声称对 11 月对 负责。

不过，这一团伙的影响还超出了公共服务的颠覆和公民数据的窃取。

根据 12 月 18 日发布的 ，该团伙在 2022 年 6 月至 2023 年 10 月间，攻击了大约 300 个实体，这份建议由 FBI、网络安全与基础设施安全局 (CISA) 和澳大利亚信号局网络安全中心共同发布。

在该建议中，机构表示该团伙（也称为 Playcrypt）对北美、南美和欧洲的多种企业和关键基础设施造成了影响。它在澳大利亚的第一次事件是在 2023 年 4月发现的，最近的一次事件则是在 11 月。

根据该建议的内容，“Play 勒索病毒团伙被推测为一个封闭的团体，旨在‘保证交易的机密性’。”

“Play 勒索病毒参与者采用双重勒索模型，先窃取数据后加密系统。赎金通知中并不包含初始赎金要求或支付说明，而是指示受害者通过电子邮件与威胁者联系。”

该团伙通常通过滥用被盗的账户凭据或利用面向公众的应用程序获得初始访问。它们还利用 FortiOS（ 和 ）和 MicrosoftExchange 中的 （ 和 ）进行攻击。

该团伙在攻击中使用了一系列合法工具和自定义工具，这些工具的标识特征是它们在数据窃取和加密过程中将文件名添加“.play”扩展名。

“该团伙使用 工具如 GMER、IOBit 和 PowerTool 关闭防病毒软件并删除日志文件。在某些情况下，网络安全研究人员观察到 Play勒索病毒参与者使用 PowerShell 脚本来攻击 Microsoft Defender，”机构表示。

上个月，Adlumin 的研究人员在一篇文章中指出，他们发现 Play 团伙最近开始以 [勒索软件即服务](https://adlumin.com/post