Хакеры Play усилили атаки с использованием уязвимостей RMM и давления через звонки

ФБР, CISA и Австралийский центр кибербезопасности выпустили совместное предупреждение о масштабной активности группировки Play, стоящей за сотнями атак с использованием программы-вымогателя Playcrypt. По данным на май 2025 года, число подтвержденных пострадавших достигло почти 900 организаций — в три раза больше, чем в октябре 2023 года.

С начала своей деятельности в 2022 году Play стала одной из самых заметных киберугроз, активно атакуя частные компании и объекты инфраструктуры в Северной и Южной Америке, а также в Европе. В 2024 году эта группировка заняла лидирующие позиции среди операторов ransomware по количеству атак и охвату.

Эксперты отмечают, что злоумышленники меняют вредоносное ПО в каждой атаке, что затрудняет обнаружение угроз на раннем этапе. В ряде случаев жертвам поступали звонки с прямыми угрозами: если выкуп не будет выплачен, похищенные данные окажутся в открытом доступе.

С начала 2025 года Play активизировалась, привлекая посредников с доступом к корпоративным сетям. Они использовали сразу несколько свежих уязвимостей в системах удаленного мониторинга и управления (CVE-2024-57726, CVE-2024-57727, CVE-2024-57728). Одним из основных векторов взлома стало проникновение через уязвимые клиенты SimpleHelp RMM — атакующие создавали фальшивые аккаунты с правами администратора, а затем устанавливали бэкдоры, в том числе через маяки Sliver, обеспечивая постоянный доступ к системе.

В отличие от других группировок, Play предпочитает общение с жертвами по электронной почте, а не через Tor-сайты. Злоумышленники сначала крадут данные, а затем требуют выкуп, угрожая опубликовать информацию на своем даркнет-ресурсе. Также в арсенале Play — собственный инструмент для извлечения файлов даже из заблокированных томов и теневых копий.

Среди известных пострадавших: облачный провайдер Rackspace, власти Окленда и округа Даллас, автосеть Arnold Clark, муниципалитет Антверпена, производитель Microchip Technology и розничная сеть Krispy Kreme.