Presentación de la nueva cobertura de la plataforma Vectra AI para Copilot y Microsoft Azure

Vectra AI Japón、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Icono de hamburguesa línea superior
Icono de hamburguesa línea media
Icono de hamburguesa línea inferior
cybercriminels
>
Grupo de ransomware

PLAY

Con su reciente cambio a un modelo de ransomware como servicio (RaaS), PLAY -también conocido como PlayCrypt- se dirige ahora a proveedores de servicios gestionados (MSP) de todo el mundo, y ha afectado a más de 300 entidades.

Detectar las TTP de PLAY
¿Está su organización a salvo de los ataques de ransomware de PLAY ?
Fondo
Objetivos
TTPs
Detección
Preguntas frecuentes
Ver sesión informativa sobre amenazas

El origen de PLAY

El grupo de ransomware PLAY , del que se sospecha que tiene vínculos rusos por el uso de técnicas de cifrado características de los grupos de ciberdelincuentes afiliados a Rusia, apareció en 2022 con una extensión de archivo '.play' distintiva de sus actividades de cifrado.

PLAY comparte similitudes con Hive y Nokayawa. Un punto en común notable es su utilización de AdFind, una utilidad de línea de comandos diseñada para recopilar datos de Active Directory, lo que subraya sus comportamientos operativos similares.

Fuente: Trend Micro y OCD

El origen de PLAY
Objetivos

PLAYObjetivos

Países destinatarios de PLAY

El grupo, que centra sus ciberataques principalmente en Alemania, también ha ampliado su alcance para comprometer objetivos en Estados Unidos, Brasil, Argentina, Portugal, Bélgica y Suiza.

Fuente: Trend Micro

Industrias a las que se dirige PLAY

PLAYLas actividades de la empresa giran principalmente en torno a las telecomunicaciones y sanidad aunque no ha escatimado esfuerzos en los sectores de los medios de comunicación, el transporte, la construcción y la administración pública. Gobierno gubernamentales.

Fuente: Trend Micro

Industrias a las que se dirige PLAY

PLAYLas actividades de la empresa giran principalmente en torno a las telecomunicaciones y sanidad aunque no ha escatimado esfuerzos en los sectores de los medios de comunicación, el transporte, la construcción y la administración pública. Gobierno gubernamentales.

Fuente: Trend Micro

PLAYVíctimas

Hasta la fecha, más de 436 víctimas han sido víctimas de sus operaciones maliciosas.

Fuente: ransomware.live

Método de ataque

PLAYMétodo de ataque

Acceso inicial
Escalada de privilegios
Defensa Evasión
Acceso con credenciales
Descubrimiento
Movimiento lateral
Colección
Ejecución
Exfiltración
Impacto
Una figura sombría tiende una amplia red sobre un paisaje digital repleto de diversos dispositivos, como ordenadores, teléfonos inteligentes y tabletas. La red simboliza los intentos del atacante de encontrar vulnerabilidades o utilizar técnicas de phishing para obtener acceso no autorizado.

PLAY obtiene acceso utilizando cuentas legítimas y explota vulnerabilidades en FortiOS y Microsoft Exchange.

Una escalera digital que se extiende hacia arriba desde un icono de usuario básico hacia una corona que simboliza privilegios administrativos. Esto representa los esfuerzos del atacante para obtener acceso de nivel superior dentro del sistema.

PLAY escala privilegios utilizando herramientas como Mimikatz y añade usuarios a grupos de administradores.

Un camaleón que se funde con un fondo digital, con ceros y unos fluyendo a su alrededor. Representa la capacidad del atacante para evitar ser detectado por las medidas de seguridad, cambiando de táctica para mezclarse con el tráfico normal de la red.

PLAY evade las defensas desactivando los programas antivirus, borrando los registros y empleando un cifrado intermitente.

Un ladrón con una ganzúa trabajando en un ojo de cerradura gigante con forma de formulario de inicio de sesión, que representa los esfuerzos del atacante por robar credenciales de usuario para obtener acceso no autorizado.

PLAY utiliza Mimikatz para volcar credenciales, ejecutado como módulo de Cobalt Strike y Empirer.

Una lupa moviéndose sobre un mapa digital de una red, resaltando archivos, carpetas y conexiones de red. Esta imagen representa la fase en la que los atacantes exploran el entorno para comprender la estructura y dónde residen los datos valiosos.

PLAY realiza consultas de Active Directory con AdFind y Bloodhound, y enumeraciones de red con Grixba.

Una serie de nodos interconectados con una figura sombría moviéndose sigilosamente entre ellos. Esto ilustra los movimientos del atacante dentro de la red, buscando obtener el control de sistemas adicionales o propagarse malware.

PLAY se propaga lateralmente mediante Cobalt Strike y SystemBC, y ejecuta archivos mediante objetos de directiva de grupo.

Una gran aspiradora aspira archivos, iconos de datos y carpetas en una bolsa sostenida por una figura sombría. Esta imagen simboliza el proceso de recopilación de datos valiosos de la red objetivo.
Una ventana de símbolo del sistema abierta delante de un fondo digital, con código malicioso siendo tecleado. Esto representa la fase en la que los atacantes ejecutan su carga maliciosa en el sistema comprometido.

PLAY despliega Empire, System BC, Cobalt Strike, PsExec y archivos por lotes para su ejecución.

Una serie de archivos que se canalizan a través de un canal encubierto desde un ordenador a una dirección cloud etiquetada con una calavera, que simboliza la transferencia no autorizada de datos a un lugar controlado por el atacante.

Para la exfiltración y el cifrado, PLAY segmenta los datos, utiliza WinRAR y WinSCP, y emplea un cifrado híbrido AES-RSA con la extensión '.play'.

Una pantalla agrietada con un paisaje urbano digital en caos detrás, que simboliza el impacto destructivo del ciberataque, como la interrupción del servicio, la destrucción de datos o las pérdidas financieras.

Al atacar los sistemas con tácticas de doble extorsión, PLAY exige rescates en criptomoneda y amenaza con filtrar datos si no se paga.

Una figura sombría tiende una amplia red sobre un paisaje digital repleto de diversos dispositivos, como ordenadores, teléfonos inteligentes y tabletas. La red simboliza los intentos del atacante de encontrar vulnerabilidades o utilizar técnicas de phishing para obtener acceso no autorizado.
Acceso inicial

PLAY obtiene acceso utilizando cuentas legítimas y explota vulnerabilidades en FortiOS y Microsoft Exchange.

Una escalera digital que se extiende hacia arriba desde un icono de usuario básico hacia una corona que simboliza privilegios administrativos. Esto representa los esfuerzos del atacante para obtener acceso de nivel superior dentro del sistema.
Escalada de privilegios

PLAY escala privilegios utilizando herramientas como Mimikatz y añade usuarios a grupos de administradores.

Un camaleón que se funde con un fondo digital, con ceros y unos fluyendo a su alrededor. Representa la capacidad del atacante para evitar ser detectado por las medidas de seguridad, cambiando de táctica para mezclarse con el tráfico normal de la red.
Defensa Evasión

PLAY evade las defensas desactivando los programas antivirus, borrando los registros y empleando un cifrado intermitente.

Un ladrón con una ganzúa trabajando en un ojo de cerradura gigante con forma de formulario de inicio de sesión, que representa los esfuerzos del atacante por robar credenciales de usuario para obtener acceso no autorizado.
Acceso con credenciales

PLAY utiliza Mimikatz para volcar credenciales, ejecutado como módulo de Cobalt Strike y Empirer.

Una lupa moviéndose sobre un mapa digital de una red, resaltando archivos, carpetas y conexiones de red. Esta imagen representa la fase en la que los atacantes exploran el entorno para comprender la estructura y dónde residen los datos valiosos.
Descubrimiento

PLAY realiza consultas de Active Directory con AdFind y Bloodhound, y enumeraciones de red con Grixba.

Una serie de nodos interconectados con una figura sombría moviéndose sigilosamente entre ellos. Esto ilustra los movimientos del atacante dentro de la red, buscando obtener el control de sistemas adicionales o propagarse malware.
Movimiento lateral

PLAY se propaga lateralmente mediante Cobalt Strike y SystemBC, y ejecuta archivos mediante objetos de directiva de grupo.

Una gran aspiradora aspira archivos, iconos de datos y carpetas en una bolsa sostenida por una figura sombría. Esta imagen simboliza el proceso de recopilación de datos valiosos de la red objetivo.
Colección
Una ventana de símbolo del sistema abierta delante de un fondo digital, con código malicioso siendo tecleado. Esto representa la fase en la que los atacantes ejecutan su carga maliciosa en el sistema comprometido.
Ejecución

PLAY despliega Empire, System BC, Cobalt Strike, PsExec y archivos por lotes para su ejecución.

Una serie de archivos que se canalizan a través de un canal encubierto desde un ordenador a una dirección cloud etiquetada con una calavera, que simboliza la transferencia no autorizada de datos a un lugar controlado por el atacante.
Exfiltración

Para la exfiltración y el cifrado, PLAY segmenta los datos, utiliza WinRAR y WinSCP, y emplea un cifrado híbrido AES-RSA con la extensión '.play'.

Una pantalla agrietada con un paisaje urbano digital en caos detrás, que simboliza el impacto destructivo del ciberataque, como la interrupción del servicio, la destrucción de datos o las pérdidas financieras.
Impacto

Al atacar los sistemas con tácticas de doble extorsión, PLAY exige rescates en criptomoneda y amenaza con filtrar datos si no se paga.

MITRE ATT&CK Cartografía

TTPs utilizados por PLAY

PLAY ataca estratégicamente los sistemas de copia de seguridad para dejar a las víctimas sin opciones alternativas de recuperación de datos, empleando meticulosas estrategias para eliminar las capacidades de copia de seguridad.

TA0001: Initial Access
T1190
Exploit Public-Facing Application
T1133
External Remote Services
T1078
Valid Accounts
TA0002: Execution
No items found.
TA0003: Persistence
T1078
Valid Accounts
TA0004: Privilege Escalation
T1484
Group Policy Modification
T1078
Valid Accounts
TA0005: Defense Evasion
T1070
Indicator Removal
T1562
Impair Defenses
T1484
Group Policy Modification
T1078
Valid Accounts
TA0006: Credential Access
T1552
Unsecured Credentials
T1003
OS Credential Dumping
TA0007: Discovery
T1518
Software Discovery
T1016
System Network Configuration Discovery
TA0008: Lateral Movement
T1570
Lateral Tool Transfer
TA0009: Collection
T1560
Archive Collected Data
TA0011: Command and Control
No items found.
TA0010: Exfiltration
T1048
Exfiltration Over Alternative Protocol
TA0040: Impact
T1657
Financial Theft
T1486
Data Encrypted for Impact
Detección de plataformas

Cómo detectar PLAY con Vectra AI

Lista de las detecciones disponibles en la plataforma Vectra AI que indicarían un ataque de ransomware.

AWS Logging Disabled

AWS Ransomware S3 Activity

AWS Root Credential Usage

AWS Security Tools Disabled

AWS Suspect Admin Privilege Granting

AWS Suspect Credential Access from EC2

Ver más detecciones
Evalúe su exposición a los ataques

Preguntas frecuentes

¿Qué es el grupo de ransomware PLAY ?

PLAY Ransomware Group es una organización de ciberdelincuentes conocida por desplegar ransomware para cifrar los archivos de las víctimas y exigir el pago de un rescate a cambio de las claves de descifrado. Suelen dirigirse a organizaciones con sistemas de seguridad débiles.

¿Cómo infecta los sistemas el ransomware PLAY ?

PLAY El ransomware suele infectar los sistemas a través de correos electrónicos de phishing , kits de explotación y credenciales comprometidas, aprovechando las vulnerabilidades para obtener acceso y desplegar su carga útil.

¿Qué sectores corren más riesgo de sufrir ataques de ransomware en PLAY ?

Aunque el ransomware PLAY se ha dirigido a una amplia gama de sectores, las infraestructuras críticas, la sanidad y los servicios financieros han sido especialmente vulnerables debido a la naturaleza sensible de sus datos.

¿Cuáles son los indicadores de compromiso (IoC) asociados al ransomware PLAY ?

Los IoC del ransomware PLAY incluyen tráfico de red inusual, modificaciones sospechosas de las claves del registro, notas de rescate y extensiones de archivo relacionadas con el ransomware malware.

¿Cómo pueden los equipos SOC detectar y responder al ransomware PLAY ?

Los equipos SOC deben emplear soluciones avanzadas de detección de amenazas, realizar análisis periódicos del tráfico de red e implantar sistemas de detección y respuesta a amenazas. El aislamiento inmediato de los sistemas infectados y la ejecución de un plan de respuesta son cruciales.

¿Cuáles son las mejores prácticas para prevenir las infecciones por ransomware en PLAY ?

Las mejores prácticas incluyen actualizaciones periódicas del software, formación de los empleados sobre ciberseguridad, un sólido filtrado del correo electrónico y el uso de la autenticación multifactor (MFA) para protegerse contra phishing y el compromiso de credenciales.

¿Se pueden descifrar los datos cifrados por el ransomware PLAY sin pagar el rescate?

Aunque no siempre se dispone de herramientas de descifrado específicas para el ransomware PLAY , se recomienda consultar a expertos en ciberseguridad y explorar las herramientas de descifrado disponibles para variantes de ransomware similares antes de considerar el pago de rescates.

¿Cómo opera financieramente el grupo de ransomware PLAY ?

El grupo PLAY opera con un modelo de rescate, exigiendo pagos a menudo en criptomonedas. También pueden emplear tácticas de doble extorsión, amenazando con filtrar los datos robados si no se paga el rescate.

¿Qué debe incluir un plan de respuesta ante un ataque de ransomware a PLAY ?

Un plan de respuesta debe incluir el aislamiento inmediato de los sistemas afectados, la identificación de la cepa del ransomware, protocolos de comunicación, procedimientos de recuperación de datos a partir de copias de seguridad y consideraciones legales para el pago de rescates.

¿Cómo pueden colaborar las organizaciones con las fuerzas de seguridad tras un ataque de ransomware a PLAY ?

Las organizaciones deben informar del incidente a las autoridades locales o nacionales de ciberseguridad, proporcionando información detallada sobre el ataque sin comprometer las operaciones en curso ni las leyes de privacidad de datos.

¿Está su organización a salvo de los ataques de ransomware de PLAY ?

Evalúe su exposición a los ataques