PLAY
Con su reciente cambio a un modelo de ransomware como servicio (RaaS), PLAY -también conocido como PlayCrypt- se dirige ahora a proveedores de servicios gestionados (MSP) de todo el mundo, y ha afectado a más de 300 entidades.
El origen de PLAY
El grupo de ransomware PLAY , del que se sospecha que tiene vínculos rusos por el uso de técnicas de cifrado características de los grupos de ciberdelincuentes afiliados a Rusia, apareció en 2022 con una extensión de archivo '.play' distintiva de sus actividades de cifrado.
PLAY comparte similitudes con Hive y Nokayawa. Un punto en común notable es su utilización de AdFind, una utilidad de línea de comandos diseñada para recopilar datos de Active Directory, lo que subraya sus comportamientos operativos similares.
Fuente: Trend Micro y OCD
Objetivos
PLAYObjetivos
Países destinatarios de PLAY
El grupo, que centra sus ciberataques principalmente en Alemania, también ha ampliado su alcance para comprometer objetivos en Estados Unidos, Brasil, Argentina, Portugal, Bélgica y Suiza.
Fuente: Trend Micro
Industrias a las que se dirige PLAY
PLAYLas actividades de la empresa giran principalmente en torno a las telecomunicaciones y sanidad aunque no ha escatimado esfuerzos en los sectores de los medios de comunicación, el transporte, la construcción y la administración pública. Gobierno gubernamentales.
Fuente: Trend Micro
Industrias a las que se dirige PLAY
PLAYLas actividades de la empresa giran principalmente en torno a las telecomunicaciones y sanidad aunque no ha escatimado esfuerzos en los sectores de los medios de comunicación, el transporte, la construcción y la administración pública. Gobierno gubernamentales.
Fuente: Trend Micro
PLAYVíctimas
Hasta la fecha, más de 436 víctimas han sido víctimas de sus operaciones maliciosas.
Fuente: ransomware.live
Método de ataque
PLAYMétodo de ataque
PLAY obtiene acceso utilizando cuentas legítimas y explota vulnerabilidades en FortiOS y Microsoft Exchange.
PLAY escala privilegios utilizando herramientas como Mimikatz y añade usuarios a grupos de administradores.
PLAY evade las defensas desactivando los programas antivirus, borrando los registros y empleando un cifrado intermitente.
PLAY utiliza Mimikatz para volcar credenciales, ejecutado como módulo de Cobalt Strike y Empirer.
PLAY realiza consultas de Active Directory con AdFind y Bloodhound, y enumeraciones de red con Grixba.
PLAY se propaga lateralmente mediante Cobalt Strike y SystemBC, y ejecuta archivos mediante objetos de directiva de grupo.
PLAY despliega Empire, System BC, Cobalt Strike, PsExec y archivos por lotes para su ejecución.
Para la exfiltración y el cifrado, PLAY segmenta los datos, utiliza WinRAR y WinSCP, y emplea un cifrado híbrido AES-RSA con la extensión '.play'.
Al atacar los sistemas con tácticas de doble extorsión, PLAY exige rescates en criptomoneda y amenaza con filtrar datos si no se paga.
Acceso inicial
PLAY obtiene acceso utilizando cuentas legítimas y explota vulnerabilidades en FortiOS y Microsoft Exchange.
Escalada de privilegios
PLAY escala privilegios utilizando herramientas como Mimikatz y añade usuarios a grupos de administradores.
Defensa Evasión
PLAY evade las defensas desactivando los programas antivirus, borrando los registros y empleando un cifrado intermitente.
Acceso con credenciales
PLAY utiliza Mimikatz para volcar credenciales, ejecutado como módulo de Cobalt Strike y Empirer.
Descubrimiento
PLAY realiza consultas de Active Directory con AdFind y Bloodhound, y enumeraciones de red con Grixba.
Movimiento lateral
PLAY se propaga lateralmente mediante Cobalt Strike y SystemBC, y ejecuta archivos mediante objetos de directiva de grupo.
Colección
Ejecución
PLAY despliega Empire, System BC, Cobalt Strike, PsExec y archivos por lotes para su ejecución.
Exfiltración
Para la exfiltración y el cifrado, PLAY segmenta los datos, utiliza WinRAR y WinSCP, y emplea un cifrado híbrido AES-RSA con la extensión '.play'.
Impacto
Al atacar los sistemas con tácticas de doble extorsión, PLAY exige rescates en criptomoneda y amenaza con filtrar datos si no se paga.
MITRE ATT&CK Cartografía
TTPs utilizados por PLAY
PLAY ataca estratégicamente los sistemas de copia de seguridad para dejar a las víctimas sin opciones alternativas de recuperación de datos, empleando meticulosas estrategias para eliminar las capacidades de copia de seguridad.
TA0001: Initial Access
T1190
Exploit Public-Facing Application
T1133
External Remote Services
T1078
Valid Accounts
TA0002: Execution
No items found.
TA0003: Persistence
T1078
Valid Accounts
TA0004: Privilege Escalation
T1484
Group Policy Modification
T1078
Valid Accounts
TA0005: Defense Evasion
T1070
Indicator Removal
T1562
Impair Defenses
T1484
Group Policy Modification
T1078
Valid Accounts
TA0006: Credential Access
T1552
Unsecured Credentials
T1003
OS Credential Dumping
TA0007: Discovery
T1518
Software Discovery
T1016
System Network Configuration Discovery
TA0008: Lateral Movement
T1570
Lateral Tool Transfer
TA0009: Collection
T1560
Archive Collected Data
TA0011: Command and Control
No items found.
TA0010: Exfiltration
T1048
Exfiltration Over Alternative Protocol
TA0040: Impact
T1657
Financial Theft
T1486
Data Encrypted for Impact
Detección de plataformas
Cómo detectar PLAY con Vectra AI
Lista de las detecciones disponibles en la plataforma Vectra AI que indicarían un ataque de ransomware.
Preguntas frecuentes
¿Qué es el grupo de ransomware PLAY ?
PLAY Ransomware Group es una organización de ciberdelincuentes conocida por desplegar ransomware para cifrar los archivos de las víctimas y exigir el pago de un rescate a cambio de las claves de descifrado. Suelen dirigirse a organizaciones con sistemas de seguridad débiles.
¿Cómo infecta los sistemas el ransomware PLAY ?
PLAY El ransomware suele infectar los sistemas a través de correos electrónicos de phishing , kits de explotación y credenciales comprometidas, aprovechando las vulnerabilidades para obtener acceso y desplegar su carga útil.
¿Qué sectores corren más riesgo de sufrir ataques de ransomware en PLAY ?
Aunque el ransomware PLAY se ha dirigido a una amplia gama de sectores, las infraestructuras críticas, la sanidad y los servicios financieros han sido especialmente vulnerables debido a la naturaleza sensible de sus datos.
¿Cuáles son los indicadores de compromiso (IoC) asociados al ransomware PLAY ?
Los IoC del ransomware PLAY incluyen tráfico de red inusual, modificaciones sospechosas de las claves del registro, notas de rescate y extensiones de archivo relacionadas con el ransomware malware.
¿Cómo pueden los equipos SOC detectar y responder al ransomware PLAY ?
Los equipos SOC deben emplear soluciones avanzadas de detección de amenazas, realizar análisis periódicos del tráfico de red e implantar sistemas de detección y respuesta a amenazas. El aislamiento inmediato de los sistemas infectados y la ejecución de un plan de respuesta son cruciales.
¿Cuáles son las mejores prácticas para prevenir las infecciones por ransomware en PLAY ?
Las mejores prácticas incluyen actualizaciones periódicas del software, formación de los empleados sobre ciberseguridad, un sólido filtrado del correo electrónico y el uso de la autenticación multifactor (MFA) para protegerse contra phishing y el compromiso de credenciales.
¿Se pueden descifrar los datos cifrados por el ransomware PLAY sin pagar el rescate?
Aunque no siempre se dispone de herramientas de descifrado específicas para el ransomware PLAY , se recomienda consultar a expertos en ciberseguridad y explorar las herramientas de descifrado disponibles para variantes de ransomware similares antes de considerar el pago de rescates.
¿Cómo opera financieramente el grupo de ransomware PLAY ?
El grupo PLAY opera con un modelo de rescate, exigiendo pagos a menudo en criptomonedas. También pueden emplear tácticas de doble extorsión, amenazando con filtrar los datos robados si no se paga el rescate.
¿Qué debe incluir un plan de respuesta ante un ataque de ransomware a PLAY ?
Un plan de respuesta debe incluir el aislamiento inmediato de los sistemas afectados, la identificación de la cepa del ransomware, protocolos de comunicación, procedimientos de recuperación de datos a partir de copias de seguridad y consideraciones legales para el pago de rescates.
¿Cómo pueden colaborar las organizaciones con las fuerzas de seguridad tras un ataque de ransomware a PLAY ?
Las organizaciones deben informar del incidente a las autoridades locales o nacionales de ciberseguridad, proporcionando información detallada sobre el ataque sin comprometer las operaciones en curso ni las leyes de privacidad de datos.