PLAY勒索软件分析

近日，安天CERT监测到PLAY勒索事件呈现活跃趋势。PLAY勒索软件又名PlayCrypt，由Balloonfly组织开发和运营^[1]，最早被发现于2022年6月。该勒索软件主要通过钓鱼邮件、漏洞利用等方式进行传播，采用“威胁曝光企业数据+加密数据”的双重勒索模式。自2022年11月3日起，Balloonfly攻击组织在Tor专用数据泄露站点（DLS）陆续发布未满足攻击者需求的受害者信息和窃取到的数据。截至2023年10月16日，开源情报共披露223名受害者信息（含DLS发布的196名）。攻击者在需求被满足或出于其他原因，会移除受害者信息和窃取到的数据，实际受害者数量远超过这个数字。

PLAY勒索软件使用“RSA+AES”算法对文件进行加密，暂未发现公开的解密工具。攻击者攻击成功后会要求受害者通过暗网地址或邮箱联系。

表1‑1 PLAY勒索软件概览

家族名称	PLAY（又名PlayCrypt）
出现时间	2022年6月
传播方式	钓鱼邮件、漏洞利用等
加密后缀	.PLAY
加密算法	“RSA+AES”
解密工具	未发现公开解密工具
支付赎金方式与金额	通过暗网地址或邮箱进行联系
加密系统	Windows
是否双重勒索	是
勒索信

应对勒索软件攻击，安天建议个人及企业采取如下防护措施：

2.1 个人防护

2.2 企业防护

图 2‑1 安天智甲可实现对PLAY勒索软件的有效查杀

当机器感染勒索软件后，不要惊慌，可立即开展以下应急工作，降低勒索软件产生的危害：隔离网络、分类处置、及时报告、排查加固、联系专业服务。

自2022年11月3日起，PLAY勒索软件背后的Balloonfly攻击组织在Tor专用数据泄露站点（DLS）陆续发布受害者信息和窃取到的数据，截至2023年10月16日，其DLS中共发布196个受害单位的信息。在超过交赎金时间后会发布窃取到的部分数据，大小约5G，涉及到的内容包括：个人数据、客户文件、合同、招聘信息、税务、财务信息等敏感信息。

以下为近期PLAY勒索软件背后攻击组织发布的受害单位案例。

4.1 美国资讯服务公司Hughes Gill Cochrane

攻击者于2023年10月10日，更新了其DLS上的美国资讯服务公司Hughes Gill Cochrane相关信息，发布窃取到的部分文件包括个人数据、客户文件、合同、招聘信息、税务、财务信息等共计5G数据。

4.2 澳大利亚金融公司NachtExpress Austria GmbH

攻击者于2023年10月9日，更新了其DLS上的澳大利亚金融公司NachtExpress Austria GmbH相关信息，发布窃取到的部分文件包括客户文件、合同、招聘信息、身份证、护照、工资单、税务、财务信息等共计5G数据。

4.3 英国物流公司WCM Europe

PLAY勒索软件自2022年6月起至今一直活跃，成功攻击共223次，除暗网地址发布的196次外，其余27次为安天CERT监测到的数据，目前该勒索组织主要攻击目标为欧美国家。

图5‑1 攻击者在暗网地址公布受害者部分信息

根据收集到的资料，安天CERT整理了PLAY勒索软件在2023年1月至9月期间的攻击情况，发现自5月份以后，该勒索组织开始频繁实施攻击，并且每个月的攻击成功次数均超过20次。

图5‑2 月攻击成功次数

该勒索软件使用“RSA+AES”算法进行文件及密钥加密，被加密文件格式为<原文件名>+<原文件后缀名>+<.PLAY>。

图6‑1 RSA算法

图6‑2 加密后的文件

该勒索软件不加密RAM与CD-ROM类型存储器，不加密名为ReadMe.txt与bootmgr的文件，不加密以PLAY、exe、msi、dll、lnk、sys为后缀的文件，并且会删除磁盘卷影备份。

加密时在每个磁盘根目录下释放一个名为”ReadMe.txt”的勒索信，勒索信中给出了暗网地址和攻击者邮件地址，详细内容如下：

图6‑3 勒索信内容

https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/play-ransomware-volume-shadow-copy

往期回顾

原文始发于微信公众号（安天集团）：PLAY勒索软件分析