ФБР зафиксировало масштабную волну атак вируса-вымогателя Play на сотни организаций по всему миру

Федеральное бюро расследований США совместно с Агентством по кибербезопасности и инфраструктурной безопасности (CISA) и Австралийским центром кибербезопасности сообщило о стремительном росте числа атак, осуществлённых кибергруппировкой Play. По состоянию на май 2025 года число пострадавших приблизилось к 900, что втрое превышает уровень, зафиксированный в октябре 2023 года.

По информации ФБР, вирус Play, известный также под именем Playcrypt, активно использовался для атак на частные компании и объекты инфраструктуры в Северной и Южной Америке, а также в Европе. Представители американского ведомства заявили, что в 2024 году эта группировка заняла одну из лидирующих позиций среди операторов программ-вымогателей по масштабам и частоте атак.

Службы безопасности подчёркивают, что хакеры применяют модифицированное вредоносное ПО при каждой атаке, что значительно снижает шансы его своевременного обнаружения антивирусными системами. Более того, в ряде случаев жертвам поступали звонки с угрозами утечки похищенных данных, если не будет выплачен выкуп.

С начала 2025 года наблюдалась новая волна атак, в которых задействованы посредники первоначального доступа, связанные с Play. Они активно использовали уязвимости в инструментах удалённого мониторинга и управления, идентифицированные как CVE-2024-57726, CVE-2024-57727 и CVE-2024-57728. Одним из распространённых методов взлома стало использование уязвимых клиентов SimpleHelp RMM для создания фальшивых администраторских учётных записей. После этого в систему внедрялся бэкдор через маяки Sliver, открывая путь для последующих атак.

Группировка Play начала действовать почти три года назад. Первые жалобы от пострадавших появились на форумах BleepingComputer в июне 2022 года. Отличительной чертой Play стало использование электронной почты в качестве основного канала коммуникации с жертвами, в отличие от других групп, использующих анонимные сайты в сети Tor.

Перед запуском вируса Play злоумышленники похищают конфиденциальные данные и используют их как рычаг давления, угрожая обнародовать содержимое на своём ресурсе в даркнете. В дополнение к этому, они применяют собственный инструмент для копирования данных из теневых копий томов, позволяющий получить доступ даже к заблокированным файлам.

Среди пострадавших оказались такие организации, как облачный провайдер Rackspace, администрация города Окленд, округ Даллас, автодилер Arnold Clark, муниципалитет Антверпена, а также сеть магазинов Krispy Kreme и производитель полупроводников Microchip Technology.