Play ランサムウェアの現状：2022 年からの３年間で 900の組織を攻撃 – FBI／CISA

Play ransomware group hit 900 organizations since 2022

2025/06/06 SecurityAffairs — 米国の FBI および CISA とオーストラリア ASD 傘下の ACSC (Australian Cyber Security Centre) による共同勧告によると、これまでの３年間において Play ランサムウェアは約 900もの組織を攻撃したとのことだ。2022年6月から活動を開始した Play ランサムウェア・グループだが、その被害者リストには、オークランド市／Rackspace／オランダの海上物流会社 Royal Dirkzwager などが含まれている。

2023年12月の時点で CISA／FBI／ACSC は、Play ランサムウェアの活動について警告を発したが、すでに 2023年10月までの期間で 約300の被害者を出していた。

そして、今回の勧告の更新では、Play ランサムウェア・グループが採用した、新たなTTP (Tactics, Techniques, and Procedures) と、最新の IOC (Indicator of Compromise) が提供されている。

この共同勧告には、「FBI／CISA／ACSC は、2025年1月の FBI 捜査で特定された、Play ランサムウェア・グループの TTP と IOC を周知するために、この共同勧告を発表する。2025年5月の時点で、FBI が把握しているのは、Play ランサムウェアにより攻撃されたとされる約 900の組織である」と記されている。

Play ランサムウェア・グループは、二重の恐喝モデルを採用している。被害者に要求されるのは、@gmx[.]deまたは@web[.]de のメール・アドレスでグループに連絡し、暗号通貨で身代金を支払うことである。もし、支払いを拒否した場合には、Play 攻撃者は Tor ネットワーク上にホストされているリークサイトで、盗み出したデータを公開すると脅迫する。

Play ランサムウェア・グループは、窃取した認証情報を利用し、FortiOS／Microsoft Exchange／RDP／VPN など外部向けサービスに存在する、既知の脆弱性を悪用することで、標的インフラへのイニシャル・アクセスを確立する。ただし、最近の Play に関与する攻撃者は、SimpleHelp の新たな脆弱性 CVE-2024-57727 を悪用し、リモート・コードを実行することで、その攻撃の手法／範囲を拡大している。

この攻撃を背後で操る脅威アクターは、AdFind／Grixba などのツールを用いてネットワーク・データを収集し、ウイルス対策ソフトウェアを特定した後に、GMER／IOBit／PowerTool を使用してセキュリティ・ソフトウェアを無効化する。多くのケースにおいて PowerShell スクリプトが展開され、Microsoft Defender が標的化されている。

さらに、この攻撃者は、ラテラル・ムーブメントのために、Cobalt Strike／SystemBC／PsExec などを利用する。また、Mimikatz を用いて認証情報を窃取し、WinPEAS で権限を昇格することで、グループ・ポリシー・オブジェクトを介したマルウェア拡散を達成している。それぞれのランサムウェア・バイナリは再コンパイルされているため、検出は困難となっている。

この共同レポートでは、Play ランサムウェアの ESXi 亜種に関する情報も提供されている。この亜種は、すべての仮想マシンをシャットダウンし、ランダムに生成されたキーを用いて、ファイルごとに暗号化を実行していく。

FBI／CISA／ACSC レポートは、「Play ランサムウェアの Windows 亜種と同様に、ESXi 亜種もキャンペーンごとに再コンパイルされているはずだ。このバイナリは、コマンド・ライン・フラグを通じて、特定の仮想マシンの暗号化から除外や、１つのファイルだけの暗号対象化に加えて、ファイル拡張子のチェックを省略した後に、すべてのファイルを暗号化するなど、開発やデバッグに使用される可能性のある、追加の機能をサポートしている」と締め括っている。

Play ランサムウェアですが、長期間／広範囲にわたり活動していると、いろんなところで報じられていましたが、これほどとは驚かされました。本文にもあるように、さまざまな悪意のツールを、適材適所で使っている感じがしますね。国際的な連携による警告が、被害の抑止に繋がることを期待します。よろしければ、カテゴリ Ransomware を、ご参照ください。