05/06/25
С момента своего появления в июне 2022 года Play атаковала широкий круг компаний и объектов критической инфраструктуры в США и Европе. По данным ФБР, в 2024 году эта группировка вошла в число наиболее активных в мире, а в 2025‑м её атаки только усилились. Все жертвы подверглись атаке вымогательского ПО, предварительно сопровождаемой кражей конфиденциальных данных и угрозами обнародования, если выкуп не будет выплачен, пишут в Securitylab.
Одной из ключевых особенностей группировки остаётся то, что в каждой атаке используется заново перекомпилированное вредоносное ПО. Такой подход значительно снижает эффективность стандартных средств обнаружения и защиты, поскольку делает сигнатурный анализ практически бесполезным. Помимо технической маскировки, злоумышленники также практикуют прямые звонки жертвам, усиливая давление и вынуждая идти на уступки.
С начала 2025 года операторы Play, сотрудничая с брокерами первоначального доступа, активно эксплуатировали уязвимости CVE-2024-57726 , CVE-2024-57727 и CVE-2024-57728 в системах удалённого мониторинга и управления (RMM). Уязвимости позволяли выполнять удалённый код на серверах жертв. В одном из инцидентов были атакованы клиенты платформы SimpleHelp : злоумышленники создали учётные записи с правами администратора, внедрили маяки Sliver и оставили системы с бэкдорами, вероятно, для последующего развёртывания шифровальщика.
Операционная модель Play строится как ransomware-as-a-service (RaaS) — распределённая сеть аффилиатов, использующих общий инструментарий и инфраструктуру. Перед применением шифровальщика киберпреступники выкачивают с сервера жертвы документы, в том числе юридические и финансовые, чтобы усилить эффект от шантажа. В отличие от других группировок, Play не использует Tor-ссылки для ведения переговоров. Вместо этого злоумышленники связываются напрямую по электронной почте.
Для извлечения данных даже из теневых копий Play применяет собственный инструмент для копирования VSS, обходя ограничения на доступ к заблокированным файлам. Это повышает вероятность успешного похищения данных даже с защищённых томов.
В числе громких инцидентов, за которыми стояла Play, фигурируют атаки на хостинг-компанию Rackspace, администрацию города Окленд , города Даллас , автодилера Arnold Clark , бельгийский город Антверпен, сеть кафе Krispy Kreme и производителя микросхем Microchip Technology .
