Federal yetkililer, kötü şöhretli oyun fidye yazılımı grubunun, Mayıs 2025 itibariyle dünya çapında yaklaşık 900 kuruluşu başarıyla ihlal ettiğini ve birden fazla devlet kurumundan acil bir güvenlik danışmanlığı başlatan siber suçlu faaliyetlerde dramatik bir yükseliş olduğunu ortaya koydu.
Federal Soruşturma Bürosu (FBI), Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) ve Avustralya Sinyalleri Müdürlüğü’nün Avustralya Siber Güvenlik Merkezi, 4 Haziran 2025 tarihinde, bu, bu, bu kontra tehdit (IOC) ile ilgili kritik taktikler, teknikler ve prosedürler (TTP) ‘de, kuruluşların bu teredefi (IOC) göstergeleri sağlayarak, bu, bu kuruluşlara karşı kuruluşların (IOC) yayınladı.
Play’in etkisi ölçeği, önceki tahminlerden önemli bir sıçramayı temsil eder, fidye yazılımı grubu 20241’de en aktif suç örgütlerinden biri haline gelir. Haziran 2022’deki ilk ortaya çıkışından bu yana, PlayCrypt olarak da bilinen playdware, Kuzey Amerika, Güney Amerika ve Avrupa’da işletmeleri ve kritik altyapıları hedeflemiştir.
.png
)
Gelişen saldırı yöntemleri
Oyunu özellikle tehlikeli kılan şey, sürekli gelişen metodolojileridir. Grup, her saldırı için fidye yazılımı ikilisini yeniden derler ve geleneksel antivirüs ve kötü amaçlı yazılım önleyici sistemler tarafından algılanmayı karmaşıklaştıran benzersiz dosya karmaları oluşturur.
Bu sofistike yaklaşım, farklı hedef sistemler için tasarlanmış özel varyantlarla hem Windows hem de ESXI ortamlarına uzanır.
Son istihbarat, oyun operatörlerinin bir uzak izleme ve yönetim aracı olan SimpleHelp’deki güvenlik açıklarından yararlanmak için ilk erişim tekniklerini genişlettiğini ortaya koyuyor.
Oynamak için bağları olan başlangıç erişim brokerleri de dahil olmak üzere birden fazla fidye yazılımı grubu, 16 Ocak 2025’teki güvenlik açıklarının açıklanmasının ardından ABD tabanlı kuruluşlara karşı uzaktan kod yürütme saldırıları yapmak için bu araçta üç güvenlik açıkından (CVE-2024-57727) sömürüldü.
Teknik karmaşıklığın ötesinde Play, operasyonlarına psikolojik manipülasyon getirdi. Her kurban @gmx.de veya @web.de alan adlarında biten benzersiz bir iletişim e -postası alırken, bazı hedefler baskı için tasarlanmış tehdit edici telefon görüşmelerine tabi tutulur.
Bu çağrılar, yardım masaları ve müşteri hizmetleri temsilcileri de dahil olmak üzere çeşitli organizasyonel telefon numaralarına yönlendirilebilir, ek stres ve aciliyet yaratır.
Grup, sistemleri şifrelemeden önce ve fidye talepleri karşılanmazsa, karanlık ağ sızıntı sitelerinde çalınan bilgileri yayınlamakla tehdit eden bir çift gasp modeli kullanır. Son zamanlarda dikkate değer kurbanlar arasında donut zinciri Krispy Kreme ve yarı iletken tedarikçi Microchip Technologies yer alıyor.
| Araç adı | Tanım | Kullanım bağlamı |
|---|---|---|
| Adfind | Active Directory bilgilerini sorgular ve alır | Ağ keşfi ve keşif |
| Kanlı | Haritalar Active Directory İlişkileri ve Saldırı Yolları | Ağ numaralandırma ve ayrıcalık artışı |
| Gmer | Antivirüs yazılımını devre dışı bırakmak için yeniden tasarlanan rootkit algılama/kaldırma aracı | Güvenlik süreçlerini sonlandırarak savunma kaçırma |
| Iobit | Uç nokta korumasını devre dışı bırakmak için kullanılan meşru kötü amaçlı yazılımla mücadele programı | Antivirüs çözümlerini devre dışı bırakma |
| Psexec | Uzaktan komut yürütme için Microsoft Sysinternals aracı | Yan hareket ve yük dağıtım |
| PowerTool | Kayıt defteri ayarlarını değiştirmek ve günlükleri silmek için kullanılan sistem optimizasyon yardımcı programı | Güvenlik kontrollerini devre dışı bırakma ve adli kanıtın silinmesi |
| Powershell | Komut dosyası yürütme ve Microsoft Defender manipülasyonu için komut dosyası çerçevesi | Güvenlik politikalarını atlamak ve saldırıları otomatikleştirmek |
| Kobalt grevi | C2 iletişimi ve yan hareket için kullanılan penetrasyon testi paketi | Feaconing, yük evreleme ve ayrıcalık yükseltme |
| Yüz ifadeleri | Kerberos biletlerini ve düz metin şifrelerini çıkarmak için kimlik bilgisi boşaltma aracı | Ayrıcalık artış ve etki alanı uzlaşması |
| İbadet | Yanlış yapılandırmaları tanımlamak için Windows Privilege Artalasyon Komut Dosyası | Güvenlik açığı keşfi ve yanal hareket |
| Winrar | Seferpatlanmış verileri şifre korumalı RAR dosyalarına sıkıştırmak için kullanılan arşiv yardımcı programı | Çift gasp için veri pessfiltration ve evreleme |
| Winscp | Çalınan verileri saldırgan kontrollü sunuculara taşımak için kullanılan güvenli dosya aktarım istemcisi | Şifreli kanallar aracılığıyla pesfiltrasyon |
| Systembc | SOCKS5 Proxy ve Uzaktan Erişim Özellikleri Sağlayan Hizmet Olarak Mal Yazılım (MAAS) Aracı | Komut ve Kontrol (C2) Altyapı |
| Grixba | Ağ varlıklarını ve güvenlik yazılımını numaralandıran özel .NET tabanlı Infostealer | Keşif ve Morsisik Karşıtı |
| Plink | Meydan okulu ağlara kalıcı erişim için SSH Tunnel Creator | Arka kapı erişimini korumak |
| Hacker işlemci | Görev Yöneticisi Alternatif, çalışma süreçlerini analiz etmek ve sonlandırmak için kullanılır | Güvenlik hizmetlerini devre dışı bırakma ve sistem etkinliğini analiz etme |
| Nekto/Privicmd | Windows güvenlik kusurlarından yararlanan ayrıcalık artış araç seti | Sistem düzeyinde izinler kazanmak |
| Microsoft NLTest | Etki alanı denetleyicisi keşfi için yerel pencereler aracı | Ağ eşleme ve etki alanı numaralandırması |
Bu artan tehdide yanıt olarak, güvenlik ajansları kuruluşları birkaç kritik savunmayı uygulamaya çağırıyor. Öncelikli eylemler, özellikle webmail, VPN ve kritik sistemlere erişen hesaplar olmak üzere tüm hizmetler için çok faktörlü kimlik doğrulamanın etkinleştirilmesini içerir.
Kuruluşlar ayrıca bilinen sömürülen güvenlik açıklarının yamalanmasına öncelik vermeli ve çevrimdışı, şifrelenmiş yedekleme sistemlerini korumalıdır.
Danışma, düzenli güvenlik açığı değerlendirmelerinin önemini ve tüm yazılımları, uygulamaları ve ürün yazılımını en son sürümlerine güncel tutmasını vurgular. Ağ savunucuları, tehdit algılama yeteneklerini artırmak için sağlanan IOC ve Yara kurallarını uygulamaya teşvik edilir.
Bu eşi görülmemiş fidye yazılımı etkinliği ölçeği, suç kuruluşları tekniklerini geliştirmeye ve küresel erişimlerini genişletmeye devam ettikçe proaktif siber güvenlik önlemlerine yönelik kritik ihtiyacın altını çizmektedir.
Tehdit istihbarat aramasıyla tehdit araştırmalarını hızlandırın ve zenginleştirin! -> 50 Deneme Arama İsteği