Playランサムウェアとは【用語集詳細】
Playランサムウェア(プレイ・ランサムウェア)は、2022年に出現した二重恐喝型ランサムウェアです。PlayCryptの別名でも知られています。
当初はブラジルおよびラテンアメリカ諸国をターゲットに活動していましたが、その後ベルギー・アントワープ市や欧州を拠点とするホテルチェーンH-Hotelsなども被害に遭っています。2023年には米国オークランド市が攻撃を受け、大きく報道されました(同市はその直後にLockBitからも攻撃を受けました)。
PlayランサムウェアのTTPはHiveおよびNokayawaランサムウェアに類似しています。特徴としては、ラテラルムーブメントの際のAdFindの利用が挙げられます。
このランサムウェアは外部公開されたRDPサーバーやFortiGate VPN脆弱性を狙ってネットワークに侵入した後、PsExecやグループポリシーオブジェクト、WMIなどを用いた環境寄生型攻撃によって継続的なアクセスを確立した後、ファイルの暗号化を行います。
2022年12月には、Microsoft Exchangeの脆弱性を用いた新たな攻撃手法OWASSRFを用いていることをCrowdStrikeが報告しています。
このエクスプロイトはProxyNotShell対策をバイパスし、OWA(Outlook Web Access)を通じて脆弱なサーバを侵害するというものです。
2023年12月、米CISA等各国のサイバーセキュリティ当局が合同で注意喚起を公開しました。
