3 уязвимости, 1 звонок и минус вся инфраструктура — Play действует грязно, но точно
NewsMakerУже 900 компаний не справились с этими хакерами. Как думаете, справитесь ли вы?
ФБР обновило совместное предупреждение с Агентством кибербезопасности и инфраструктурной безопасности США ( CISA ) и Австралийским центром кибербезопасности, сообщив, что число жертв вымогательской группировки Play (она же Playcrypt) к маю 2025 года превысило 900 организаций. Это втрое больше, чем сообщалось осенью 2023 года.
С момента своего появления в июне 2022 года Play атаковала широкий круг компаний и объектов критической инфраструктуры в США и Европе. По данным ФБР, в 2024 году эта группировка вошла в число наиболее активных в мире, а в 2025‑м её атаки только усилились. Все жертвы подверглись атаке вымогательского ПО, предварительно сопровождаемой кражей конфиденциальных данных и угрозами обнародования, если выкуп не будет выплачен.
Одной из ключевых особенностей группировки остаётся то, что в каждой атаке используется заново перекомпилированное вредоносное ПО. Такой подход значительно снижает эффективность стандартных средств обнаружения и защиты, поскольку делает сигнатурный анализ практически бесполезным. Помимо технической маскировки, злоумышленники также практикуют прямые звонки жертвам, усиливая давление и вынуждая идти на уступки.
С начала 2025 года операторы Play, сотрудничая с брокерами первоначального доступа, активно эксплуатировали уязвимости CVE-2024-57726 , CVE-2024-57727 и CVE-2024-57728 в системах удалённого мониторинга и управления ( RMM ). Уязвимости позволяли выполнять удалённый код на серверах жертв. В одном из инцидентов были атакованы клиенты платформы SimpleHelp : злоумышленники создали учётные записи с правами администратора, внедрили маяки Sliver и оставили системы с бэкдорами, вероятно, для последующего развёртывания шифровальщика.
Операционная модель Play строится как ransomware-as-a-service ( RaaS ) — распределённая сеть аффилиатов, использующих общий инструментарий и инфраструктуру. Перед применением шифровальщика киберпреступники выкачивают с сервера жертвы документы, в том числе юридические и финансовые, чтобы усилить эффект от шантажа. В отличие от других группировок, Play не использует Tor-ссылки для ведения переговоров. Вместо этого злоумышленники связываются напрямую по электронной почте.
Для извлечения данных даже из теневых копий Play применяет собственный инструмент для копирования VSS, обходя ограничения на доступ к заблокированным файлам. Это повышает вероятность успешного похищения данных даже с защищённых томов.
В числе громких инцидентов, за которыми стояла Play, фигурируют атаки на хостинг-компанию Rackspace, администрацию города Окленд , города Даллас , автодилера Arnold Clark , бельгийский город Антверпен , сеть кафе Krispy Kreme и производителя микросхем Microchip Technology .
ФБР, CISA и австралийские специалисты подчёркивают необходимость немедленного обновления программного обеспечения, включая прошивки и компоненты ОС, чтобы снизить вероятность эксплуатации уязвимостей. Также настоятельно рекомендуется включить многофакторную аутентификацию — особенно для VPN, веб-почты и критичных сервисов, а также обеспечить резервное копирование данных с хранением офлайн и регулярной проверкой процедуры восстановления.
ФБР обновило совместное предупреждение с Агентством кибербезопасности и инфраструктурной безопасности США ( CISA ) и Австралийским центром кибербезопасности, сообщив, что число жертв вымогательской группировки Play (она же Playcrypt) к маю 2025 года превысило 900 организаций. Это втрое больше, чем сообщалось осенью 2023 года.
С момента своего появления в июне 2022 года Play атаковала широкий круг компаний и объектов критической инфраструктуры в США и Европе. По данным ФБР, в 2024 году эта группировка вошла в число наиболее активных в мире, а в 2025‑м её атаки только усилились. Все жертвы подверглись атаке вымогательского ПО, предварительно сопровождаемой кражей конфиденциальных данных и угрозами обнародования, если выкуп не будет выплачен.
Одной из ключевых особенностей группировки остаётся то, что в каждой атаке используется заново перекомпилированное вредоносное ПО. Такой подход значительно снижает эффективность стандартных средств обнаружения и защиты, поскольку делает сигнатурный анализ практически бесполезным. Помимо технической маскировки, злоумышленники также практикуют прямые звонки жертвам, усиливая давление и вынуждая идти на уступки.
С начала 2025 года операторы Play, сотрудничая с брокерами первоначального доступа, активно эксплуатировали уязвимости CVE-2024-57726 , CVE-2024-57727 и CVE-2024-57728 в системах удалённого мониторинга и управления ( RMM ). Уязвимости позволяли выполнять удалённый код на серверах жертв. В одном из инцидентов были атакованы клиенты платформы SimpleHelp : злоумышленники создали учётные записи с правами администратора, внедрили маяки Sliver и оставили системы с бэкдорами, вероятно, для последующего развёртывания шифровальщика.
Операционная модель Play строится как ransomware-as-a-service ( RaaS ) — распределённая сеть аффилиатов, использующих общий инструментарий и инфраструктуру. Перед применением шифровальщика киберпреступники выкачивают с сервера жертвы документы, в том числе юридические и финансовые, чтобы усилить эффект от шантажа. В отличие от других группировок, Play не использует Tor-ссылки для ведения переговоров. Вместо этого злоумышленники связываются напрямую по электронной почте.
Для извлечения данных даже из теневых копий Play применяет собственный инструмент для копирования VSS, обходя ограничения на доступ к заблокированным файлам. Это повышает вероятность успешного похищения данных даже с защищённых томов.
В числе громких инцидентов, за которыми стояла Play, фигурируют атаки на хостинг-компанию Rackspace, администрацию города Окленд , города Даллас , автодилера Arnold Clark , бельгийский город Антверпен , сеть кафе Krispy Kreme и производителя микросхем Microchip Technology .
ФБР, CISA и австралийские специалисты подчёркивают необходимость немедленного обновления программного обеспечения, включая прошивки и компоненты ОС, чтобы снизить вероятность эксплуатации уязвимостей. Также настоятельно рекомендуется включить многофакторную аутентификацию — особенно для VPN, веб-почты и критичных сервисов, а также обеспечить резервное копирование данных с хранением офлайн и регулярной проверкой процедуры восстановления.