Vectra AI è stata nominata Leader nel Quadrante Magico Gartner 2025 per Network Detection and Response (NDR). >
NUOVO
APPENA PUBBLICATO

Vectra AI è stata nominata Leader nel Quadrante Magico Gartner 2025 per Network Detection and Response (NDR). >

Vectra AI(NDR) のマジック・クアドラントにおいてリーダーの1社に
Icona dell'hamburger in alto
Icona dell'hamburger linea centrale
Icona dell'hamburger linea di fondo
Briefing sulle minacce

Le nuove tattiche di Play aggirano le difese tradizionali. Siete pronti?

12 giugno 2025
Lucie Cardiet
Responsabile della ricerca sulle minacce informatiche
Le nuove tattiche di Play aggirano le difese tradizionali. Siete pronti?

L'ultimo avviso governativo del CISA evidenzia che Play sta utilizzando una nuova vulnerabilità software(CVE-2024-57727) in uno strumento chiamato SimpleHelp, spesso utilizzato dai team IT per gestire i computer in remoto. Una volta entrato, Play utilizza PowerShell (un comune strumento di amministrazione) per prendere il controllo, il che significa che si confonde con le normali attività ed evita molte difese tradizionali.

Ancora più preoccupante è il fatto che il ransomware stesso è costruito su misura per ogni attacco. Ciò significa che gli strumenti che si basano sull'individuazione di file malware noti non funzionano, perché non ci sono file riutilizzati da rilevare. Ogni attacco sembra diverso in superficie.

Pertanto, se le vostre difese si basano su minacce note e indicatori fissi, potrebbero essere già obsolete. Per fermare Play ora, è necessario un sistema di sicurezza che analizzi il comportamento, non solo i file.

Nuovi indizi per la rilevazione: cosa tenere d'occhio adesso

Uno dei maggiori cambiamenti nelle modalità di funzionamento del ransomware Play è l'uso di strumenti personalizzati (molti dei quali sono stati individuati solo di recente). Questi strumenti sono progettati per rubare dati sensibili, bloccare i sistemi di sicurezza e muoversi silenziosamente nella rete prima che la crittografia abbia inizio.

Alcuni esempi segnalati dall'FBI e dal CISA:

  • HRsword.exe: disattiva le protezioni antivirus in modo che Play possa operare inosservato.
  • Grixba: raccoglie informazioni sulla rete e sugli strumenti di sicurezza.
  • Usysdiag.exe: manomette le impostazioni dei certificati di Windows, indebolendo potenzialmente la fiducia del sistema.
  • PsExec personalizzato: una versione modificata di un noto strumento utilizzato per l'esecuzione di comandi remoti.

L'aspetto fondamentale è che non si tratta di strumenti di hacking casuali. Sono costruiti appositamente per lavorare insieme, consentendo a Play di disattivare silenziosamente le difese, trovare dati preziosi e prepararsi alla crittografia senza attivare gli avvisi.

I team di sicurezza devono andare oltre le firme di base delle minacce e concentrarsi invece sul rilevamento di comportamenti sospetti come:

  • Strumenti che iniziano improvvisamente a scansionare la vostra Active Directory.
  • I file vengono compressi in grandi quantità (segno di furto di dati).
  • Attività di accesso remoto insolite che utilizzano strumenti dall'aspetto legittimo.

Se il vostro team operativo di sicurezza non sta ancora cercando questi schemi nel traffico di rete e nell'attività delle identità, è ora di aggiornare la vostra strategia di rilevamento.

Le tattiche di pressione si stanno intensificando

Play non si limita a utilizzare strumenti più avanzati, ma diventa anche più aggressivo con le sue vittime. Una volta entrato nella rete di un'azienda, Play segue una doppia strategia di estorsione: ruba i dati prima di criptarli, poi chiede un pagamento non solo per sbloccare i sistemi, ma anche per evitare fughe di notizie pubbliche.

La novità del 2025 è che le loro tattiche di pressione sono diventate personali.

Secondo l'aggiornamento dell'advisory CISA:

  • Le vittime ricevono note di riscatto via e-mail, ma queste non includono istruzioni per il pagamento. Invece, alle aziende viene detto di contattare un unico indirizzo e-mail (che termina con @gmx.de o @web.de).
Nota del ransomware da gioco che mostra un semplice indirizzo e-mail che la vittima deve contattare
Fonte: ransomware.live
  • In molti casi, gli attori delle minacce chiamano direttamente l'azienda (spesso utilizzando numeri disponibili al pubblico come le linee di assistenza clienti) per fare pressione sui dipendenti affinché rispondano e paghino.

Questo segna il passaggio dall'estorsione tecnica alla molestia guidata dall'uomo. Ciò aggiunge un livello di stress e confusione, soprattutto quando vengono presi di mira dipendenti esterni al team di sicurezza.

Per i CISO questo significa due cose:

  1. La pianificazione della risposta agli incidenti deve includere le comunicazioni e le risorse umane, non solo l'IT. I team di help desk e assistenza devono sapere come riconoscere e segnalare chiamate o e-mail sospette.
  2. La preparazione legale e di pubbliche relazioni è ora essenziale. Se Play dà seguito alle minacce di fuga di dati, le conseguenze non saranno solo tecniche. Potrebbe avere un impatto sulla fiducia nel marchio, sulla conformità e sulle relazioni con i clienti.

Il risultato? Play si sta trasformando da un gruppo di ransomware a un'azienda di estorsione pienamente operativa, che utilizza ogni aspetto (tecnico, emotivo e reputazionale) per imporre il pagamento.

I server ESXi sono ora un obiettivo primario

Play non si limita più a colpire le macchine Windows. Gli ultimi attacchi includono una versione del ransomware progettata specificamente per colpire i server VMware ESXi: i sistemi che molte organizzazioni utilizzano per eseguire le macchine virtuali.

Perché è importante: Gli ambienti ESXi ospitano spesso servizi aziendali critici e gli aggressori sanno che, se li distruggono, hanno la massima leva per chiedere un pagamento.

Ecco cosa rivela il rapporto CISA aggiornato sulle tattiche ESXi di Play:

  • Il ransomware chiude tutte le macchine virtuali in esecuzione prima di crittografare i file (questo garantisce la massima interruzione).
  • Si rivolge a tipi di file specifici relativi alle macchine virtuali (come .vmdk, .vmem e .nvram).
  • Inserisce una nota di riscatto personalizzata direttamente nel sistema e modifica persino il messaggio di login di ESXi per mostrare la richiesta di riscatto.
  • Come la versione per Windows, questa variante di ESXi è costruita su misura per ogni vittima, il che la rende più difficile da rilevare utilizzando antivirus tradizionali o regole statiche.

Si tratta di uno sviluppo importante. Molti strumenti di sicurezza hanno ancora difficoltà a garantire la visibilità e la protezione all'interno degli ambienti ESXi, soprattutto quelli basati su agenti che non sono stati progettati per gli hypervisor.

Come Vectra AI vi aiuta a rilevare e fermare il gioco

Le nuove tattiche del ransomware Play (tooling personalizzato, evasione del comportamento, targeting ESXi e pressione psicologica) dimostrano la rapidità con cui gli aggressori si stanno adattando.

La verità è che la maggior parte degli strumenti tradizionali non è in grado di tenere il passo. I CIO statici, il rilevamento basato su file e gli antivirus di base non sono stati creati per questo tipo di minacce.

È qui che la piattaformaVectra AI fa la differenza.

A differenza degli strumenti tradizionali che si basano sull'individuazione di malware noti, Vectra AI analizza continuamente il comportamento dell'ambiente ibrido.

Ecco come questo vi aiuterà a rimanere in vantaggio rispetto a Play:

Copertura dell'intera superficie di attacco ibrida

Il gioco si rivolge a tutto, da Active Directory e VPN ad ambienti cloud e server ESXi. Vectra AI offre visibilità in tempo reale e senza agenti su tutto questo. Questo include:

  • Monitoraggio dell'attività delle identità in Azure AD e on-premise AD
  • Osservare i movimenti laterali e l'escalation dei privilegi all'interno della rete.
  • Rilevare gli abusi in ambienti virtualizzati come ESXi, anche quando gli strumenti tradizionali sono ciechi.

Chiarezza grazie al segnale guidato dall'intelligenza artificiale, non al rumore degli avvisi

Quando Play si muove, non fa scattare allarmi evidenti. Si mimetizza, utilizzando credenziali rubate e strumenti IT come PowerShell o PsExec. Vectra AI elimina il rumore con l'analisi comportamentale basata sull'intelligenza artificiale, evidenziando:

  • Comportamento anomalo dell'account legato a schemi di attacco conosciuti
  • Attività sospette di crittografia dei file e di stoccaggio dei dati
  • Uso di backdoor e strumenti personalizzati anche se mai visti prima

Controllo per rispondere prima dell'impatto

I binari personalizzati e le build per obiettivo di Play sono progettati per eludere i risponditori lenti. Vectra AI offre ai team SOC:

  • Definizione automatica delle priorità dei comportamenti a più alto rischio
  • Rilevamenti ricchi di contesto che riducono i tempi di indagine
  • Informazioni utili per contenere le minacce in anticipo, prima che inizi la crittografia.

Siete pronti a vedere come funziona?

Guardateuna demo autoguidata della Vectra AI Platform e scoprite come potete rilevare e interrompere la riproduzione prima che inizi la crittografia.

DOMANDE FREQUENTI