PlayBoy Locker: Новая угроза в мире программ-вымогателей

В недавно опубликованном отчете Cybereason Threat Analysis рассматривается платформа PlayBoy Locker Ransomware-as-a-Service (RaaS), запущенная в сентябре 2024 года. Эта модель позволяет злоумышленникам, особенно тем, у кого нет продвинутых технических навыков, эффективно проводить атаки с использованием программ-вымогателей.
Что такое PlayBoy Locker RaaS?
PlayBoy Locker предлагает доступный инструментарий для проведения атак и включает в себя:
- Полезную нагрузку на программы-вымогатели;
- Интерфейсы управления;
- Партнерские программы с механизмами распределения прибыли (партнеры могут удерживать до 85% выплат выкупа).
Эти Features демократизируют распространение программ-вымогателей и делают их доступными для широкого круга злоумышленников.
Функциональные возможности PlayBoy Locker
PlayBoy Locker позволяет настраивать двоичные файлы программ-вымогателей на заказ, ориентируясь на такие системы, как:
- Windows;
- NAS;
- ESXi.
Это включает в себя следующие возможности:
- Сегментированное шифрование файлов;
- Автоматическое распространение по сети через LDAP с использованием учетных данных Active Directory;
- Процессы прекращения работы служб, что может нарушить работу жертв.
Методы атаки и механизмы шифрования
Программа-вымогатель использует критически важные системные компоненты, такие как RstrtMgr.dll, для закрытия открытых файлов перед их шифрованием, что значительно повышает эффективность атаки. Кроме того, использование многопоточности для ускорения процесса шифрования нескольких файлов гарантирует значительный ущерб в минимальные сроки.
Схема атаки на PlayBoy Locker чаще всего инициируется с помощью стандартных средств заражения, таких как:
- Фишинговые электронные письма;
- Скомпрометированные конечные точки RDP.
Как только точка доступа в сети установлена, PlayBoy Locker использует протокол облегченного доступа к каталогам (LDAP) для поиска подключенных устройств и копирования исполняемого файла программы-вымогателя на удаленные компьютеры. Завершив установку, программа-вымогатель шифрует файлы различных форматов, включая документы, изображения, видео и базы данных, и создает уведомление о требовании выкупа в виде файла INSTRUCTIONS.txt в каждой папке, не исключенной из процесса шифрования.
Перспективы угрозы
Группа PlayBoy Locker максимально активно поддерживает свою экосистему, регулярно обновляя инструменты и предлагая всестороннюю партнерскую поддержку. Это позволяет им успешно обходить принятые меры безопасности. В результате, их операционная эффективность способствует расширению спектра угроз, связанных с атаками программ-вымогателей.
Эта ситуация подчеркивает настоятельную необходимость в надежных защитных механизмах для противодействия новейшим угрозам в киберпространстве. Модель RaaS, в сочетании с возможностями PlayBoy Locker, представляет собой серьезную проблему для специалистов по кибербезопасности, которые стремятся снизить риски, связанные с атаками программ-вымогателей.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



