Контакты
Подписка 2025
ITSEC 2025
ITSEC 2025: Информационная и кибербезопасность России. Форум для ИБ-специалистов, ИТ-директоров, разработчиков и поставщиков решений
Регистрируйтесь и участвуйте 14-15 октября!

Число жертв вымогательской группировки Play к маю 2025 года превысило 900 организаций

05/06/25

photo-1719255417989-b6858e87359e

С момента своего появления в июне 2022 года Play атаковала широкий круг компаний и объектов критической инфраструктуры в США и Европе. По данным ФБР, в 2024 году эта группировка вошла в число наиболее активных в мире, а в 2025‑м её атаки только усилились. Все жертвы подверглись атаке вымогательского ПО, предварительно сопровождаемой кражей конфиденциальных данных и угрозами обнародования, если выкуп не будет выплачен, пишут в Securitylab.

Одной из ключевых особенностей группировки остаётся то, что в каждой атаке используется заново перекомпилированное вредоносное ПО. Такой подход значительно снижает эффективность стандартных средств обнаружения и защиты, поскольку делает сигнатурный анализ практически бесполезным. Помимо технической маскировки, злоумышленники также практикуют прямые звонки жертвам, усиливая давление и вынуждая идти на уступки.

С начала 2025 года операторы Play, сотрудничая с брокерами первоначального доступа, активно эксплуатировали уязвимости CVE-2024-57726 , CVE-2024-57727 и CVE-2024-57728 в системах удалённого мониторинга и управления (RMM). Уязвимости позволяли выполнять удалённый код на серверах жертв. В одном из инцидентов были атакованы клиенты платформы SimpleHelp : злоумышленники создали учётные записи с правами администратора, внедрили маяки Sliver и оставили системы с бэкдорами, вероятно, для последующего развёртывания шифровальщика.

Операционная модель Play строится как ransomware-as-a-service (RaaS) — распределённая сеть аффилиатов, использующих общий инструментарий и инфраструктуру. Перед применением шифровальщика киберпреступники выкачивают с сервера жертвы документы, в том числе юридические и финансовые, чтобы усилить эффект от шантажа. В отличие от других группировок, Play не использует Tor-ссылки для ведения переговоров. Вместо этого злоумышленники связываются напрямую по электронной почте.

Для извлечения данных даже из теневых копий Play применяет собственный инструмент для копирования VSS, обходя ограничения на доступ к заблокированным файлам. Это повышает вероятность успешного похищения данных даже с защищённых томов.

В числе громких инцидентов, за которыми стояла Play, фигурируют атаки на хостинг-компанию Rackspace, администрацию города Окленд , города Даллас , автодилера Arnold Clark , бельгийский город Антверпен, сеть кафе Krispy Kreme и производителя микросхем Microchip Technology .

Темы:Пресс-релизОтрасльВымогателиCISAвымогатели-как-услуга2025
КИИ
14 октября на Форуме ITSEC 2025: Защищенный удаленный доступ. Технологии безопасной дистанционной работы
Выступить на конференции →
Статьи по темеСтатьи по теме

  • Ransomware как услуга: готовая инфраструктура заработка на ваших данных
    Дмитрий Калинин, Продакт-менеджер компании DSSL
    Киберугрозы становятся все более изощренными. Одной из самых опасных является Ransomware-as-a-Service (RaaS) – по сути предоставление программы-вымогателя в аренду. Эта услуга позволяет даже неопытным хакерам зарабатывать на похищении данных, предоставляя им доступ к мощным инструментам для шифрования и вымогательства.

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Доверенные решения для защиты российских ОС на базе Linux и миграции
Выступить 14 октября →

Еще темы...

More...