Wzrost zagrożenia, które nie zna granic
Zaledwie w kilka miesięcy liczba potwierdzonych ataków grupy ransomware Play wzrosła trzykrotnie, osiągając dramatyczny pułap 900 naruszonych organizacji. Taką informację ujawniło właśnie FBI, które wspólnie z amerykańską agencją CISA oraz Australijskim Centrum Bezpieczeństwa Cybernetycznego opublikowało aktualizację ostrzeżeń dotyczących tej wyjątkowo agresywnej operacji cyberprzestępczej. Działający od połowy 2022 roku gang, znany również pod nazwą Playcrypt, wciąż poszerza zasięg swoich działań, atakując zarówno firmy prywatne, jak i elementy infrastruktury krytycznej na trzech kontynentach: w Ameryce Północnej, Południowej oraz w Europie. W najnowszym raporcie amerykańskie służby wskazują, że skala działań tej grupy stawia ją w czołówce najbardziej aktywnych gangów ransomware ubiegłego roku. Zaskakujące tempo, z jakim powiększa się lista ofiar, budzi poważne obawy ekspertów ds. cyberbezpieczeństwa, zwłaszcza że zagrożenie obejmuje także systemy rządowe, opiekę zdrowotną czy sektor energetyczny. Cechą szczególną działalności grupy Play jest wyjątkowa trudność w wykrywaniu ich złośliwego oprogramowania. W każdej kampanii przestępcy stosują nową, skompilowaną wersję malware’u, co skutecznie utrudnia jego analizę i zablokowanie przez tradycyjne systemy ochrony. Ofiary nie tylko tracą dostęp do danych, ale często są zastraszane i zmuszane do zapłaty okupu pod groźbą publikacji skradzionych informacji. W niektórych przypadkach kontakt z ofiarą odbywał się nawet telefonicznie, co świadczy o nowym poziomie śmiałości ze strony przestępców.
Ataki przez znane luki i narzędzia
Jednym z istotnych elementów, który umożliwił tak dynamiczny rozwój działalności Play, jest wykorzystanie luk w oprogramowaniu wykorzystywanym do zdalnego zarządzania systemami IT. FBI wymienia konkretne podatności zidentyfikowane w 2024 roku (oznaczone jako CVE-2024-57726, 57727 i 57728), które posłużyły do przejęcia kontroli nad sieciami organizacji w USA. Na tym etapie przestępcy tworzyli nowe konta administratorów, a następnie instalowali narzędzia pozwalające na dalsze, skryte działania. W szczególności uwagę zwrócono na przypadki ataków przez system SimpleHelp RMM – popularne oprogramowanie do zdalnego monitorowania. Po przejęciu kontroli cyberprzestępcy wykorzystywali sygnały Sliver beacon do przygotowania gruntu pod przyszłe wdrożenie ransomware. Tego typu działania pokazują, że grupa nie działa impulsywnie – wręcz przeciwnie, jej strategia jest przemyślana i oparta na etapowej eskalacji. Niepokój budzi również fakt, że Play nie korzysta z popularnych kanałów negocjacyjnych, takich jak sieć Tor. Zamiast tego wykorzystuje bezpośrednią komunikację e-mailową, co w oczach ekspertów ma utrudniać śledzenie działań gangu i ograniczać możliwości techniczne służb oraz analityków. W dodatku wykorzystuje niestandardowe narzędzia do przejmowania danych z kopii zapasowych – nawet tych, które są aktywne w tle systemów produkcyjnych. Wśród dotychczasowych ofiar znalazły się zarówno międzynarodowe korporacje, jak i miasta czy instytucje publiczne. Przykłady takie jak Rackspace, Antwerpia, Dallas czy ostatnio Microchip Technology i sieć Krispy Kreme, pokazują, że nikt nie może czuć się bezpieczny. Straty są nie tylko finansowe, ale też wizerunkowe i operacyjne – zwłaszcza gdy wyciekają wrażliwe dane klientów lub tajemnice handlowe.
