1.概述
近日,安天CERT监测到PLAY勒索事件呈现活跃趋势。PLAY勒索软件又名PlayCrypt,由Balloonfly组织开发和运营[1],最早被发现于2022年6月。该勒索软件主要通过钓鱼邮件、漏洞利用等方式进行传播,采用“威胁曝光企业数据+加密数据”的双重勒索模式。自2022年11月3日起,Balloonfly攻击组织在Tor专用数据泄露站点(DLS)陆续发布未满足攻击者需求的受害者信息和窃取到的数据。截至2023年10月16日,开源情报共披露223名受害者信息(含DLS发布的196名)。攻击者在需求被满足或出于其他原因,会移除受害者信息和窃取到的数据,实际受害者数量远超过这个数字。
PLAY勒索软件使用“RSA+AES”算法对文件进行加密,暂未发现公开的解密工具。攻击者攻击成功后会要求受害者通过暗网地址或邮箱联系。
表1‑1 PLAY勒索软件概览
2.防护建议
应对勒索软件攻击,安天建议个人及企业采取如下防护措施:
2.1 个人防护
1. 提升网络安全意识:保持良好用网习惯,积极学习网络安全相关知识;
2. 确认邮件内容:核对发件人的邮箱地址,核实身份信息,谨慎对待索要账号密码的邮件,避免直接点击可疑邮件中的链接和运行附件;
3. 安装终端防护:安装反病毒软件。建议安天智甲用户开启勒索病毒防御工具模块(默认开启);
4. 加强口令强度:避免使用弱口令,建议使用16位或更长的密码,包括大小写字母、数字和符号在内的组合,同时避免多个服务器使用相同口令;
5. 定期更改口令:定期更改系统口令,避免出现口令泄露导致系统遭到入侵;
6. 及时更新补丁:建议开启自动更新安装系统补丁,服务器、数据库、中间件等易受攻击部分应及时更新系统补丁;
7. 关闭高危端口:对外服务采取最小化原则,如无使用需要,建议关闭135、139、445和3389等高危端口;
8. 关闭PowerShell:如不使用PowerShell命令行工具,建议将其关闭;
9. 定期数据备份:定期对重要文件进行数据备份,备份数据应与主机隔离。
2.2 企业防护
1. 网络安全培训与安全演练:定期开展网络安全培训与安全演练,提高员工网络安全意识;
2. 安装终端防护:安装反病毒软件,针对不同平台建议安装安天智甲终端防御系统;
3. 及时更新补丁:建议开启自动更新安装系统补丁,服务器、数据库、中间件等易受攻击部分应及时更新系统补丁;
4. 开启日志:开启关键日志收集功能(安全日志、系统日志、PowerShell日志、IIS日志、错误日志、访问日志、传输日志和Cookie日志),为安全事件的追踪溯源提供基础;
5. 设置IP白名单规则:配置高级安全Windows防火墙,设置远程桌面连接的入站规则,将使用的IP地址或IP地址范围加入规则中,阻止规则外IP进行暴力破解;
6. 主机加固:对系统进行渗透测试及安全加固;
7. 部署入侵检测系统(IDS):部署流量监控类软件或设备,便于对勒索软件的发现与追踪溯源。
8. 灾备预案:建立安全灾备预案,安全事件发生时确保备份业务系统可以快速启用;
3.处置建议
当机器感染勒索软件后,不要惊慌,可立即开展以下应急工作,降低勒索软件产生的危害:隔离网络、分类处置、及时报告、排查加固、联系专业服务。
1. 首先要将感染勒索软件的机器断网,防止勒索软件进行横向传播继续感染局域网中的其他机器。
2. 不要重启机器,个别勒索软件的编写存在逻辑问题,在不重启的情况下有找回部分被加密文件的可能。
3. 不要急于重做系统、或进行格式化硬盘等破坏加密文档的行为。先备份加密后的文档,被加密后带后缀的文件不具有传染性,可复制到任意计算机上做备份保存,但是恢复的可能性极小。可以根据情况考虑是否等待解密方案,有小部分勒索软件的解密工具会由于各种原因被放出。
4. 虽然可以从后缀名、勒索信等信息判断出勒索软件家族类型,但由于暂时缺失勒索软件在用户网络内如何加密、传播的具体过程,仍无法准确判断其类型。虽然可以从威胁情报库中获取功能相似的病毒样本,通过模拟感染过程来确认,但在感染过程、感染源头的定位还需要细化,建议通过现场安全服务的形式进行定位、溯源。
4.近期PLAY勒索软件泄露数据案例
自2022年11月3日起,PLAY勒索软件背后的Balloonfly攻击组织在Tor专用数据泄露站点(DLS)陆续发布受害者信息和窃取到的数据,截至2023年10月16日,其DLS中共发布196个受害单位的信息。在超过交赎金时间后会发布窃取到的部分数据,大小约5G,涉及到的内容包括:个人数据、客户文件、合同、招聘信息、税务、财务信息等敏感信息。
以下为近期PLAY勒索软件背后攻击组织发布的受害单位案例。
4.1 美国资讯服务公司Hughes Gill Cochrane
攻击者于2023年10月10日,更新了其DLS上的美国资讯服务公司Hughes Gill Cochrane相关信息,发布窃取到的部分文件包括个人数据、客户文件、合同、招聘信息、税务、财务信息等共计5G数据。
4.2 澳大利亚金融公司NachtExpress Austria GmbH
攻击者于2023年10月9日,更新了其DLS上的澳大利亚金融公司NachtExpress Austria GmbH相关信息,发布窃取到的部分文件包括客户文件、合同、招聘信息、身份证、护照、工资单、税务、财务信息等共计5G数据。
4.3 英国物流公司WCM Europe
攻击者于2023年10月9日,更新了置于其DLS上的英国物流公司WCM Europe相关信息,发布窃取到的部分文件包括客户文件、合同、招聘信息、身份证、工资单、税务、财务信息等共计5G数据。
5.数据统计
PLAY勒索软件自2022年6月起至今一直活跃,成功攻击共223次,除暗网地址发布的196次外,其余27次为安天CERT监测到的数据,目前该勒索组织主要攻击目标为欧美国家。
图5‑1 攻击者在暗网地址公布受害者部分信息
根据收集到的资料,安天CERT整理了PLAY勒索软件在2023年1月至9月期间的攻击情况,发现自5月份以后,该勒索组织开始频繁实施攻击,并且每个月的攻击成功次数均超过20次。
6.样本分析
该勒索软件使用“RSA+AES”算法进行文件及密钥加密,被加密文件格式为++。
表1‑1 PLAY勒索软件概览
图6‑1 RSA算法
图6‑2 加密后的文件
该勒索软件不加密RAM与CD-ROM类型存储器,不加密名为ReadMe.txt与bootmgr的文件,不加密以PLAY、exe、msi、dll、lnk、sys为后缀的文件,并且会删除磁盘卷影备份。
加密时在每个磁盘根目录下释放一个名为"ReadMe.txt"的勒索信,勒索信中给出了暗网地址和攻击者邮件地址,详细内容如下:
图6‑3 勒索信内容
7.IoCs
5EA71206B0701FDFCEF38DC1080BEA3B
8B7E28AB198C36E6CC75F95A9C513399
FFDBF029182D045C20D694E794755694
7B14F0CF56A38C8123F6FF9041159F0A
DEE1B66AD2797868EDC4C5C7BB1A4603
mbrlkbtq5jonaqkurjwmxftytyn2ethqvbxfu4rgjbkkknndqwae6byd.onion
k7kg3jqxang3wh7hnmaiokchk7qoebupfgoik6rha6mjpzwupwtj25yd.onion
anegkugaprach8@gmx.de
转载来源:https://www.antiy.com/response/PlayCrypt_Analysis.html
图片来源网络侵权可联系删除