事件摘要
Play 勒索集團自 2022 年出現以來,持續維持高活躍度,並以組織化程度高、對受害者造成長時間營運中斷而聞名。
Halcyon 針對 2025 年多起事件的追蹤顯示,Play 不再只是單純加密系統,而是會在加密前系統性拆除企業防護、奪取網路控制權、破壞備份與儲存設備,最大化企業停機時間與恢復成本。
這次觀察到的幾個特別值得注意的新手法包括:
- 利用磁碟管理工具移除 EDR / EPP / 防毒
- 奪取 SonicWall 防火牆控制權
- 對 NAS 進行出廠重設
- 刻意加密本地備份系統(如 Veeam)
這代表 Play 的攻擊目標已不只是加密檔案,而是全面破壞企業的防護、網路、儲存與復原能力。
Play 勒索集團的主要特徵
1. 初始入侵仍以邊界設備為主
Play 主要透過以下入口取得初始存取:
- 未修補的 Fortinet SSL VPN 弱點
- Microsoft Exchange 弱點(如 ProxyNotShell、OWASSRF)
- SonicWall 設備
這表示對外設備、VPN 與郵件系統仍是高風險入口。
2. 攻擊範圍已擴展到虛擬化環境
Play 已發展出可針對 VMware ESXi 環境的 Linux 變種,顯示其攻擊面已從 Windows 端點與伺服器,擴大到虛擬化基礎設施。
3. 採取 Living-off-the-Land 與客製工具並行
除了使用系統原生工具外,Play 也搭配自製工具,例如:
- Grixba:用於網路枚舉
- PlusBrute:用於帳號暴力破解
整體手法偏向高效率、低噪音、快速擴散。
本文最值得注意的四項新攻擊手法
1. 利用磁碟管理工具移除 EDR / EPP / 防毒
這是本文最關鍵的新手法之一。
手法說明
Play 並非直接停止或關閉安全程式,而是利用合法的分割區管理工具,例如 Acronis Disk Director,把 EDR / EPP / AV 所在的資料夾搬到新分割區,再刪除該分割區,使端點防護檔案在重開機後不再位於正確位置,最終導致防護產品失效。
重點在於
- 不直接停服務
- 不直接殺程序
- 而是從磁碟層把安全產品「移走」
這使得某些傳統偵測機制較難第一時間判斷為典型惡意關閉防護行為。
風險意涵
這代表攻擊者已不只會用 BYOVD 或停服務,而是開始濫用合法磁碟管理工具來拆除防護。文中也特別提醒,不只 Acronis,可做到類似功能的工具很多,包括 AOMEI、EaseUS、MiniTool、Paragon、Macrium 等。
2. 奪取防火牆控制權
手法說明
Halcyon 觀察到 Play 在部分事件中會直接奪取 SonicWall 防火牆 控制權,並限制只允許 Play 自己的網路流量通行,使受害企業無法正常從外部進行維運或復原。
額外特點
- 針對 IPsec VPN 下手
- 特別利用 未啟用 MFA 的 RADIUS 架構
- 重設防火牆密碼
- 造成設備無法直接恢復使用
風險意涵
一旦防火牆被拿走,企業可能會出現:
- 內外部連線中斷
- 遠端救援受阻
- 外部維運團隊無法介入
- 復原流程嚴重延遲
這代表防火牆本身已成為攻擊者的控制目標,不只是入侵入口。
3. NAS 出廠重設
手法說明
Play 在外洩 NAS 內的敏感資料後,直接對 NAS 執行 factory reset。
文中提到,受害者最敏感的資料先被完整外洩,之後儲存設備遭重設,導致必須從雲端備份還原,或從零重建。
風險意涵
這表示攻擊者目標不是只讓 NAS 被加密,而是:
- 先偷資料
- 再讓儲存設備直接回到出廠狀態
- 讓企業更難做本地快速恢復
對很多企業來說,NAS 常存放:
- 檔案共用
- 專案資料
- 影像
- 歷史文件
- VM 檔案
因此一旦遭重設,營運衝擊可能非常大。
4. 刻意加密本地備份系統
手法說明
Play 會刻意加密本地備份軟體,例如 Veeam,尤其是那些存放虛擬機與關鍵資料、並且掛在網域內或位於 ESXi 主機上的本地備份系統。
造成的後果
文中提到,受害環境中:
- 每台 ESXi 主機都需重建
- 之後還要和雲端服務商協調建立本地執行個體
- 備份回傳與還原花費數週時間
風險意涵
這說明備份系統若:
- 位於網域內
- 與生產環境信任過深
- 可被一般高權限帳號碰到
- 沒有隔離
那就很容易在勒索事件中一併被打掉。
四、對企業的風險意涵
從本文可看出,Play 的作戰目標已經不是單純「加密端點」,而是一次性破壞企業四個核心層面:
- 端點防護層:先移除 EDR / EPP / AV
- 網路控制層:奪取防火牆控制權
- 儲存層:重設 NAS
- 復原層:加密本地備份與 ESXi 環境
這樣的組合,會讓企業在事件發生後面臨:
- 無法即時偵測
- 無法遠端介入
- 無法快速還原
- 無法依賴既有本地備份
- 停機時間大幅延長
也就是說,Play 追求的不只是勒索成功率,而是最大化停機與談判壓力。
五、建議資訊主管優先關注事項
1. 強化初始入侵面防護
優先檢查:
- Fortinet SSL VPN
- SonicWall
- Microsoft Exchange
- 所有對外暴露設備與遠端服務
需確認:
- 是否已修補
- 是否仍暴露於外網
- 是否已啟用 MFA
- 是否存在弱密碼或預設帳號
2. 不可只依賴單一端點防護
Play 已證明,攻擊者可透過合法磁碟工具把 EDR / EPP 拆掉。
因此企業端點防護不能只靠:
- 單一防毒
- 單一 EDR
- 單一後段偵測平台
而應採用:
- 前段預防
- 端點自我保護
- 對防護產品被搬移、刪除、分割區異動的監控
- 多層可視性
3. 將防火牆列為高價值資產管理
防火牆不只是邊界設備,也是事件中可能被駭客「接管」的核心控制點。
建議:
- IPsec VPN 強制 MFA
- 嚴格限制管理介面
- 定期離線備份設定檔
- 盤點最後已知可用乾淨設定
- 對管理帳號與設定異動建立告警
4. 將 NAS 與備份系統視為關鍵防線,而非普通設備
建議:
- NAS 不應與一般網域完全同信任
- 備份系統應與生產環境隔離
- 備份不可被一般高權限帳號直接存取
- 建立 immutable / offline backup
- 定期演練從雲端還原與本地重建
5. 強化 ESXi / 虛擬化主機保護
Play 已明顯瞄準 ESXi。
建議:
- ESXi 管理網段獨立
- 管理介面不可直接暴露
- vCenter / ESXi 帳號與 AD 高權限分層
- 虛擬化環境單獨稽核
- 建立還原與重建 SOP
6. 對合法工具濫用建立監控
本文最重要的提醒之一是:
攻擊者愈來愈常用合法工具做非法目的。
應特別監控:
- 分割區管理工具
- 備份管理工具
- 防火牆管理操作
- 大量刪除日誌
- 高權限遠端工具使用
- Windows 原生管理工具濫用
六、給資訊主管的一句話結論
Play 勒索集團已從單純加密攻擊,升級為同時拆除端點防護、接管防火牆、重設 NAS、加密本地備份與重建 ESXi 的整體破壞模式。企業若仍只把勒索防禦理解成端點防毒或 EDR 部署,將不足以應對此類攻擊。正確方向應是同時強化邊界設備、端點第一道預防、防火牆保護、儲存與備份隔離,以及虛擬化環境重建能力,才能降低停機時間與勒索壓力。