Cybereason опубликовалановый аналитический отчёт, в котором изучается деятельность RaaS-платформы PlayBoy Locker. Сервис представляет собой серьёзный вызов для организаций, поскольку предоставляет готовые инструменты для атак даже тем, кто не обладает техническими навыками в киберпреступности.
PlayBoy Locker впервые появился в сентябре 2024 года на даркнет-форуме, где его создатели начали с поиска бета-тестеров. Спустя короткое время была запущена партнёрская программа с классической RaaS-моделью: 85% от выкупа получают партнеры, 15% – оператор сервиса. Такая система позволяет новичкам запускать сложные атаки с помощью готовых инструментов, включая бинарные сборки, панели управления и техническую поддержку.
Особенностью PlayBoy Locker стало наличие конструктора вредоносных программ, через который можно собрать под себя исполняемые файлы, нацеленные на Windows, NAS и ESXi-системы. Инструмент предоставляет гибкие настройки и регулярно обновляется, что затрудняет обнаружение антивирусами . Партнерам предлагаются подсказки по распространению вредоноса, техническая поддержка и доступ к панели администратора с возможностью управлять системами жертв и чатом.
Технический анализ показал, что Windows-версия PlayBoy Locker написана на C++ и использует связку шифров hc-128 и curve25519. Вредонос реализует многопоточную очередь для шифрования файлов, умеет удалять теневые копии через vssadmin, завершает десятки процессов и сервисов, включая популярные приложения и системы резервного копирования. В списке целей – процессы от Skype, Chrome и Firefox до Oracle и Veeam. Также реализовано автоматическое распространение внутри домена Active Directory через LDAP, с возможностью запускать службу на удалённых хостах.
Для NAS и ESXi систем разработаны отдельные версии. На ESXi PlayBoy Locker способен завершать виртуальные машины, запускаться в режиме демона и исключать определённые пути из шифрования. Для NAS предусмотрено шифрование по указанному пути с минимальной настройкой. Размер исполняемых файлов минимален – около 70 КБ.
После выполнения вредонос создаёт файл с инструкциями под названием INSTRUCTIONS.txt в каждом незашифрованном каталоге. В завершение операции программа инициирует самоудаление через командную строку, маскируя своё присутствие.
В отчёте также опубликованы хэши вредоносных файлов, которые можно использовать для обнаружения заражений, а также рекомендации по защите. Среди них:
- отслеживание активности партнеров;
- использование многофакторной аутентификации (MFA);
- регулярное резервное копирование;
- установка обновлений;
- участие команд реагирования на инциденты.
Растущая профессионализация RaaS-экосистемы, представленная на примере PlayBoy Locker, усложняет борьбу с вымогателями. Угроза становится массовой и доступной, а потому требует не только технических средств защиты, но и постоянного мониторинга, анализа и быстрого реагирования.