PLAY

Los operadores de ransomware suelen empezar iniciando sesión con credenciales válidas que probablemente hayan comprado en mercados de la Web oscura. Estas credenciales suelen estar vinculadas a servicios de acceso remoto como VPN o Protocolo de Escritorio Remoto (RDP). Cuando las credenciales no están disponibles, aprovechan las vulnerabilidades de las aplicaciones orientadas a Internet. Los puntos de entrada conocidos incluyen fallos en Fortinet FortiOS y servidores Microsoft Exchange (como ProxyNotShell). A principios de 2025, ellos y los intermediarios de acceso afiliados comenzaron a explotar una vulnerabilidad recientemente revelada en la herramienta de supervisión remota SimpleHelp para ejecutar código remoto y obtener acceso silencioso a los sistemas internos.

Una vez dentro, los actores del juego elevan sus privilegios identificando errores de configuración o debilidades del software. Utilizan herramientas como WinPEAS para enumerar las oportunidades locales de escalada de privilegios y, a menudo, pasan a explotarlas directamente. En muchos incidentes observados, los agresores también utilizan herramientas como Nekto o PriviCMD para escalar su acceso. En última instancia, su objetivo es obtener privilegios de administrador de dominio para poder controlar totalmente el entorno y distribuir ampliamente las cargas útiles del ransomware.

Para evitar ser detectados, los atacantes desactivan sistemáticamente el software de seguridad. Herramientas como GMER, IOBit y PowerTool se utilizan para matar procesos antivirus, mientras que los scripts de PowerShell se utilizan para desactivar Microsoft Defender. También borran los registros y otros artefactos forenses de los registros de sucesos de Windows, lo que reduce las posibilidades de que los defensores puedan detectar su actividad o reconstruir su línea de tiempo de intrusión.

Los actores del ransomware buscan activamente credenciales en los entornos comprometidos. Peinan archivos no seguros y datos de configuración para extraer credenciales almacenadas y, cuando es posible, despliegan Mimikatz para volcar credenciales de autenticación directamente desde la memoria. Esta herramienta se ejecuta a veces a través de plataformas como Cobalt Strikelo que permite a los atacantes recopilar credenciales de administrador de dominio sin activar las alertas tradicionales.

Durante la fase de descubrimiento, los operadores de Play llevan a cabo un reconocimiento interno para comprender la disposición de la red e identificar objetivos valiosos. Utilizan herramientas como AdFind y Grixba para enumerar las estructuras de Active Directory, enumerar los nombres de host e identificar el software instalado, incluidas las herramientas de protección de puntos finales. Este reconocimiento les ayuda a guiar su movimiento lateral y evitar las zonas de seguridad de alta fricción.

Para moverse por la red, los actores utilizan herramientas de movimiento lateral como PsExec para ejecutar comandos de forma remota. También utilizan marcos de post-explotación como Cobalt Strike y SystemBC para mantener el mando y control sobre máquinas adicionales. Una vez conseguido el acceso a nivel de dominio, pueden distribuir cargas útiles a través de objetos de directiva de grupo, enviando binarios de ransomware a los sistemas de forma masiva.

Antes de cifrar los datos, los operadores de Play preparan los archivos para la exfiltración. A menudo dividen los datos robados en trozos más pequeños y los comprimen en .RAR archivos utilizando WinRAR. Este paso garantiza que los datos estén listos para su transferencia, y su estructura reduce la probabilidad de que se activen herramientas de prevención de pérdida de datos (DLP) o alertas en los terminales.

La ejecución se lleva a cabo mediante una combinación de control manual y distribución automatizada. Los archivos binarios del ransomware suelen distribuirse y ejecutarse a través de PsExec, Cobalt Strike o cambios en las directivas de grupo. Cada binario se compila de forma exclusiva para el entorno de destino, lo que ayuda a eludir la detección antivirus basada en firmas. Una vez ejecutado, el ransomware comienza a cifrar los archivos, omitiendo los archivos del sistema para mantener el tiempo de actividad operativa hasta que se exija el rescate.

Una vez que los datos están preparados, los actores del juego utilizan herramientas como WinSCP para transmitir de forma segura los datos robados a su infraestructura a través de canales cifrados. Estos archivos suelen almacenarse en entornos controlados por los atacantes y alojados fuera del dominio de la víctima. El grupo utiliza múltiples métodos de transferencia para eludir las soluciones de supervisión del tráfico y maximizar la velocidad de extracción de datos antes de que comience el cifrado.

‍

El ransomware Play utiliza un doble extorsión modelo: tras robar los datos, cifran los archivos de la víctima y exigen el pago a través de comunicaciones por correo electrónico, normalmente vinculadas a direcciones únicas en @gmx.de o @web.de. Los archivos cifrados se renombran con un PLAY y se deja una nota de rescate en directorios públicos. Si no se paga, el grupo amenaza con filtrar los datos robados en un sitio de filtraciones alojado en Tor. En algunos casos, intensifican la presión llamando a los números de teléfono de organizaciones -como centros de asistencia o líneas de atención al cliente- encontrados a través de información de fuentes abiertas.