Ըստ Adlumin-ի կողմից ներկայացված նոր ապացույցների, Play ransomware-ն այժմ հաքերներին աառաջարկվում է «որպես կոմերցիոն ծառայություն»:
Իրականացված հետազոտությունն ու անալիտիկան հիմնված է Play ransomware-ի տարբեր հարձակումների վրա, որոնք ներառում են գրեթե նույն մարտավարությունն ու նույն հաջորդականությունը:
Սա ներառում է public music folder-ի կիրառումը (C:\…\public\music), որպեսզի թաքցնի իրենից վտանգ ներկայացնող ֆայլը:
Play-ը, որը նաև կոչվում է Balloonfly և PlayCrypt, առաջին անգամ ի հայտ եկավ դեռևս 2022 թվականի հունիսին՝ օգտագործելով Microsoft Exchange Server-ի անվտանգության խոցելիությունները՝ ProxyNotShell և OWASSRF ցանցեր ներթափանցելու և ransomware-եր տեղակայելու համար:
Բացի Grixba-իի կողմից կիրառվող տվյալների հավաքագրման հատուկ գործիքներից, անձնանում է նաև Play-ի մեկ այլ ransomware-երի խումբ, որի շրջանակում օպերատորները նույնպես հարձակումներ են իրականացնում:
Նոր բացահայտված նմուշները խթանում են RaaS օպերացիայի տրանսֆորմացիային և շահավետ տարբերակ են դառնում կիբերհանցագործների համար:
«Եվ քանի որ այսօր ավելի շատ սցենարիստներ կան, քան «իրապես գործող հաքերներ», բիզնեսներն ու իշխանությունները պետք է ավելի զգոն լինեն և զգուշանան միջադեպերի աճող ալիքից»:
Աղբյուրը՝ https://thehackernews.com/