Группировка Play Ransomware радикально усиливает атаку: обезвреживает EDR через управление дисками и захватывает межсетевые экраны
Группировка вымогателей Play совершила опасный эволюционный скачок, внедрив сложный многоэтапный процесс, призванный полностью парализовать корпоративные системы защиты перед развёртыванием основного вредоносного заряда. Согласно свежему техническому анализу компании Halcyon, злоумышленники теперь целенаправленно отключают решения класса Endpoint Detection and Response и Endpoint Protection Platform, используя новую методику. Она злоупотребляет легитимной системной утилитой Windows «Управление дисками» (diskmgmt.msc), что знаменует сознательную эскалацию в гонке вооружений между операторами ransomware и специалистами по безопасности.
Суть техники заключается в использовании diskmgmt.msc для размонтирования томов, на которых установлены критические компоненты защитного программного обеспечения. Отсоединяя эти тома, вымогатели делают агенты EDR/EPP неработоспособными, поскольку те теряют доступ к своим файлам и процессам. Метод особенно коварен, так как задействует доверенный, подписанный системный процесс Windows, что позволяет обходить традиционные поведенческие правила детектирования.
После нейтрализации защиты на конечных точках атакующие переходят к компрометации сетевых межсетевых экранов. Они достигают этого, эксплуатируя уязвимости или используя похищенные учётные данные администраторов для получения контроля. Это эффективно лишает организацию возможности мониторинга внутреннего инцидента и блокирует внешние коммуникации для реагирования.
Такой двусторонний подход — отключение защиты на конечных точках и захват контроля над периметром — создаёт для организации-жертвы «идеальный шторм». Действуя практически безнаказанно, злоумышленники проводят разведку, сбор учётных данных и финальное развёртывание шифровальщика Play по всей сети. Захват межсетевых экранов также позволяет группировке создавать постоянные бэкдоры и срывать попытки восстановления.
Тактика группировки Play подчёркивает ключевую тенденцию в ландшафте вымогательских атак: смещение фокуса с простого шифрования данных к полному захвату инфраструктуры. Защитникам более нельзя полагаться только на защиту конечных точек; необходима многоуровневая стратегия обороны. Эксперты Halcyon настоятельно рекомендуют сегментировать сети, строго применять принцип наименьших привилегий, использовать расширенное обнаружение и реагирование на уровне сети и регулярно проводить тренировки по реагированию на инциденты.
