Play勒索软件组织，又被称为Playcrypt，从2022年6月以来一直持续攻击并影响了全球超过300家企业组织以及重要的网络基础设施。日前，美国联邦调查局（FBI）、网络安全与基础设施安全局（CISA）和澳大利亚网络安全中心（ASD’s ACSC）联合发布了一份安全提醒公告，要求企业组织加强对Play勒索软件组织的防护，并给出了相关的防护建议。

据了解，Play 勒索软件攻击事件最早是在今年 4 月被发现，而最近一次被曝光则是在不久前的11月份，目前累计受害企业数量已经超过300家。尽管Play勒索软件组织的地下数据泄漏网站显示，为了“保证交易的保密性”，网站处于非开放状态。但调查人员发现，使用Play勒索软件的威胁行为者通常会采用双重勒索策略，并在未满足赎金要求时非法公开或出售受害企业的数据。

Play 勒索软件攻击者首先通过 Microsoft Exchange（ProxyNotShell [CVE-2022-4 1040 和 CVE-2022-41082]）和 FortiOS（CVE-2018-13379 和 CVE-2020-12812）中的已知漏洞来获取受害者计算机访问权限，然后加密数据。在对受害企业的初始通知中并不包括赎金要求和付款说明，受害者被告知向攻击者发送电子邮件进行进一步的联系。

值得注意的是，大多数的Play勒索软件是利用组织面向外部的服务，如虚拟专用网络（VPN）和远程桌面协议（RDP）获得访问权限。Play勒索软件攻击者也会使用 AdFind 等工具来执行 Active Directory 查询，并使用信息窃取程序 Grixba 来枚举网络信息并扫描防病毒软件。此外，还利用 GMER、IOBit 和 PowerTool 等工具来删除日志文件并禁用防病毒软件。

缓解措施

为了减轻Play勒索软件爆发的可能性和影响，FBI在公告中建议企业组织实施以下缓解措施：

• 尽快修复已知的可被利用漏洞；
• 尽可能为所有服务启用多重身份验证 （MFA），特别是针对 Webmail、VPN 和访问关键系统的使用账户；
• 及时修补和更新软件应用程序到最新版本，并定期进行漏洞评估。