PLAY勒索软件分析

01 概述

近日，安天CERT监测到PLAY勒索事件呈现活跃趋势。

PLAY勒索软件又名PlayCrypt，由Balloonfly组织开发和运营^[1]，最早被发现于2022年6月。该勒索软件主要通过钓鱼邮件、漏洞利用等方式进行传播，采用“威胁曝光企业数据+加密数据”的双重模式。

自2022年11月3日起，Balloonfly攻击组织在Tor专用数据泄露站点（DLS）陆续发布未满足攻击者需求的受害者信息和窃取到的数据，截至2023年10月16日，开源情报共披露223名受害者信息（含DLS发布的196名）。攻击者在需求被满足或出于其他原因，会移除受害者信息和窃取到的数据，实际受害者数量远超过这个数字。

PLAY勒索软件使用“RSA+AES”算法对文件进行加密，暂未发现公开的解密工具，攻击者攻击成功后会要求受害者通过暗网地址或邮箱联系。      

表 1‑1 PLAY勒索软件概览

02 防护建议

应对勒索软件攻击，安天建议个人及企业采取如下防护措施：

2.1  个人防护

1.提升网络安全意识：保持良好用网习惯，积极学习网络安全相关知识；

2.确认邮件内容：核对发件人的邮箱地址，核实身份信息，谨慎对待索要账号密码的邮件，避免直接点击可疑邮件中的链接和运行附件；

3.安装终端防护：安装反病毒软件。建议安天智甲用户开启勒索病毒防御工具模块（默认开启）；

4.加强口令强度：避免使用弱口令，建议使用16位或更长的密码，包括大小写字母、数字和符号在内的组合，同时避免多个服务器使用相同口令；

5.定期更改口令：定期更改系统口令，避免出现口令泄露导致系统遭到入侵；

6.及时更新补丁：建议开启自动更新安装系统补丁，服务器、数据库、中间件等易受攻击部分应及时更新系统补丁；

7.关闭高危端口：对外服务采取最小化原则，如无使用需要，建议关闭135、139、445和3389等高危端口；

8.关闭PowerShell：如不使用PowerShell命令行工具，建议将其关闭；

9.定期数据备份：定期对重要文件进行数据备份，备份数据应与主机隔离。

2.2  企业防护

1.网络安全培训与安全演练：定期开展网络安全培训与安全演练，提高员工网络安全意识；

2.安装终端防护：安装反病毒软件，针对不同平台建议安装安天智甲终端防御系统；

3.及时更新补丁：建议开启自动更新安装系统补丁，服务器、数据库、中间件等易受攻击部分应及时更新系统补丁；

4.开启日志：开启关键日志收集功能（安全日志、系统日志、PowerShell日志、IIS日志、错误日志、访问日志、传输日志和Cookie日志），为安全事件的追踪溯源提供基础；

5.设置IP白名单规则：配置高级安全Windows防火墙，设置远程桌面连接的入站规则，将使用的IP地址或IP地址范围加入规则中，阻止规则外IP进行暴力破解；

6.主机加固：对系统进行渗透测试及安全加固；

7.部署入侵检测系统（IDS）：部署流量监控类软件或设备，便于对勒索软件的发现与追踪溯源。安天探海威胁检测系统（PTD）以网络流量为检测分析对象，能精准检测出已知海量恶意代码和网络攻击活动，有效发现网络可疑行为、资产和各类未知威胁；

8.灾备预案：建立安全灾备预案，安全事件发生时确保备份业务系统可以快速启用；

9.安天服务：若遭受勒索软件攻击，建议及时断网，并保护现场等待安全工程师对计算机进行排查。安天7*24小时服务热线：400-840-9234。

经验证，安天智甲终端防御系统（简称IEP）、安天智甲云主机安全监测系统、安天智甲容器安全检测系统可实现对PLAY勒索软件的有效查杀。

图 2-1 安天智甲可实现对PLAY勒索软件的有效查杀

03 处置建议

当机器感染勒索软件后，不要惊慌，可立即开展以下应急工作，降低勒索软件产生的危害：隔离网络、分类处置、及时报告、排查加固、联系专业服务。

1.首先要将感染勒索软件的机器断网，防止勒索软件进行横向传播继续感染局域网中的其他机器。

2.不要重启机器，个别勒索软件的编写存在逻辑问题，在不重启的情况下有找回部分被加密文件的可能。

3.不要急于重做系统、或进行格式化硬盘等破坏加密文档的行为。先备份加密后的文档，被加密后带后缀的文件不具有传染性，可复制到任意计算机上做备份保存，但是恢复的可能性极小。可以根据情况考虑是否等待解密方案，有小部分勒索软件的解密工具会由于各种原因被放出。

4.虽然可以从后缀名、勒索信等信息判断出勒索软件家族类型，但由于暂时缺失勒索软件在用户网络内如何加密、传播的具体过程，仍无法准确判断其类型。虽然可以从威胁情报库中获取功能相似的病毒样本，通过模拟感染过程来确认，但在感染过程、感染源头的定位还需要细化，建议通过现场安全服务的形式进行定位、溯源。

04 近期PLAY勒索软件泄露数据案例

自2022年11月3日起，PLAY勒索软件背后的Balloonfly攻击组织在Tor专用数据泄露站点（DLS）陆续发布受害者信息和窃取到的数据，截至2023年10月16日，其DLS中共发布196个受害单位的信息。在超过交赎金时间后会发布窃取到的部分数据，大小约5G，涉及到的内容包括：个人数据、客户文件、合同、招聘信息、税务、财务信息等敏感信息。

以下为近期PLAY勒索软件背后攻击组织发布的受害单位案例：

4.1  美国资讯服务公司Hughes Gill Cochrane

攻击者于2023年10月10日，更新了其DLS上的美国资讯服务公司Hughes Gill Cochrane相关信息，发布窃取到的部分文件包括个人数据、客户文件、合同、招聘信息、税务、财务信息等共计5G数据。

4.2  澳大利亚金融公司NachtExpress Austria GmbH

攻击者于2023年10月9日，更新了其DLS上的澳大利亚金融公司NachtExpress Austria GmbH相关信息，发布窃取到的部分文件包括客户文件、合同、招聘信息、身份证、护照、工资单、税务、财务信息等共计5G数据。

4.3  英国物流公司WCM Europe

攻击者于2023年10月9日，更新了置于其DLS上的英国物流公司WCM Europe相关信息，发布窃取到的部分文件包括客户文件、合同、招聘信息、身份证、工资单、税务、财务信息等共计5G数据。

05 数据统计

PLAY勒索软件自2022年6月起至今一直活跃，成功攻击共223次，除暗网地址发布的196次外，其余27次为安天CERT监测到的数据，目前该勒索组织主要攻击目标为欧美国家。

图 5‑1 攻击者在暗网地址公布受害者部分信息

根据收集到的资料，安天CERT整理了PLAY勒索软件在2023年1月至9月期间的攻击情况，发现自5月份以后，该勒索组织开始频繁实施攻击，并且每个月的攻击成功次数均超过20次。

图 5‑2 月攻击成功次数

06 样本分析

该勒索软件使用“RSA+AES”算法进行文件及密钥加密，被加密文件格式为

图 6‑1 RSA算法

图 6‑2 加密后的文件

该勒索软件不加密RAM与CD-ROM类型存储器，不加密名为ReadMe.txt与bootmgr的文件，不加密以PLAY、exe、msi、dll、lnk、sys为后缀的文件，并且会删除磁盘卷影备份。

加密时在每个磁盘根目录下释放一个名为"ReadMe.txt"的勒索信，勒索信中给出了暗网地址和攻击者邮件地址，详细内容如下：

图 6‑3 勒索信内容

07 IoCs

 08 参考材料

[1] Play Ransomware Group Using New Custom Data-Gathering Tools

https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/play-ransomware-volume-shadow-copy