PLAY

Gli autori di attacchi ransomware di tipo "Play" spesso iniziano effettuando l'accesso con credenziali valide, probabilmente acquistate sui mercati del dark web. Queste credenziali sono in genere associate a servizi di accesso remoto come le VPN o il Remote Desktop Protocol (RDP). Quando le credenziali non sono disponibili, sfruttano le vulnerabilità presenti nelle applicazioni esposte a Internet. Tra i punti di accesso noti figurano le falle nei server Fortinet FortiOS e Microsoft Exchange (come ProxyNotShell). All'inizio del 2025, loro e i broker di accesso affiliati hanno iniziato a sfruttare una vulnerabilità appena rivelata nello strumento di monitoraggio remoto SimpleHelp per eseguire codice remoto e ottenere silenziosamente l'accesso ai sistemi interni.

Una volta all'interno, gli autori degli attacchi aumentano i propri privilegi individuando configurazioni errate o vulnerabilità del software. Utilizzano strumenti come WinPEAS per individuare le opportunità di escalation dei privilegi locali e spesso passano direttamente allo sfruttamento di tali vulnerabilità. In molti casi osservati, gli autori ricorrono anche a strumenti come Nekto o PriviCMD per ampliare i propri privilegi di accesso. Il loro obiettivo finale è ottenere i privilegi di amministratore di dominio, in modo da poter controllare completamente l'ambiente e diffondere su larga scala i payload del ransomware.

Per evitare di essere scoperti, gli aggressori disattivano sistematicamente i software di sicurezza. Strumenti come GMER, IOBit e PowerTool vengono utilizzati per terminare i processi antivirus, mentre gli script PowerShell servono a disattivare Microsoft Defender. Inoltre, cancellano i registri e altre tracce forensi dai registri eventi di Windows, riducendo così le possibilità che i difensori possano rilevare la loro attività o ricostruire la cronologia dell'intrusione.

Gli autori di attacchi ransomware cercano attivamente credenziali negli ambienti compromessi. Setacciano file non protetti e dati di configurazione per estrarre le credenziali memorizzate e, quando possibile, utilizzano Mimikatz per estrarre le credenziali di autenticazione direttamente dalla memoria. Questo strumento viene talvolta eseguito tramite piattaforme come Cobalt Strike, consentendo agli aggressori di raccogliere le credenziali degli amministratori di dominio senza attivare i tradizionali allarmi.

Durante la fase di ricognizione, gli operatori Play effettuano un'analisi interna per comprendere la struttura della rete e individuare obiettivi strategici. Utilizzano strumenti come AdFind e Grixba per enumerare le strutture di Active Directory, elencare i nomi host e identificare i software installati, compresi gli strumenti endpoint . Questa ricognizione li aiuta a orientare i loro movimenti laterali ed evitare le zone di sicurezza ad alto livello di protezione.

Per spostarsi all'interno della rete, gli autori si avvalgono di strumenti di movimento laterale come PsExec per eseguire comandi da remoto. Utilizzano inoltre framework di post-exploit come Cobalt Strike e SystemBC per mantenere il comando e il controllo su macchine aggiuntive. Una volta ottenuto l'accesso a livello di dominio, possono distribuire payload tramite oggetti Criteri di gruppo, inviando in massa i file binari del ransomware ai sistemi.

Prima di crittografare i dati, gli operatori di Play preparano i file per l'esfiltrazione. Spesso suddividono i dati rubati in blocchi più piccoli e li comprimono in .RAR archivi utilizzando WinRAR. Questa fase garantisce che i dati siano pronti per il trasferimento e la loro struttura riduce il rischio di attivare gli strumenti di prevenzione della perdita di dati (DLP) o endpoint .

L'esecuzione avviene tramite una combinazione di controllo manuale e distribuzione automatizzata. I file binari del ransomware vengono spesso distribuiti ed eseguiti tramite PsExec, Cobalt Strike o modifiche ai criteri di gruppo. Ogni file binario viene compilato in modo specifico per l'ambiente di destinazione, il che consente di eludere il rilevamento antivirus basato sulle firme. Una volta eseguito, il ransomware inizia a crittografare i file, tralasciando quelli di sistema per garantire il funzionamento del sistema fino al momento in cui vengono formulate le richieste di riscatto.

Una volta raccolti i dati, gli autori dell'attacco utilizzano strumenti come WinSCP per trasmettere in modo sicuro i dati sottratti alla propria infrastruttura tramite canali crittografati. Questi file vengono solitamente archiviati in ambienti controllati dagli autori dell'attacco e ospitati al di fuori del dominio della vittima. Il gruppo ricorre a diversi metodi di trasferimento per eludere le soluzioni di monitoraggio del traffico e massimizzare la velocità di estrazione dei dati prima che abbia inizio la crittografia.

‍

Il ransomware Play utilizza un doppia estorsione Modalità operativa: dopo aver sottratto i dati, i malintenzionati crittografano i file della vittima e richiedono il pagamento tramite e-mail, solitamente inviate da indirizzi specifici con estensione @gmx.de o @web.de. I file crittografati vengono rinominati con un .PLAY con estensione, e viene lasciata una richiesta di riscatto nelle directory pubbliche. Se non viene effettuato alcun pagamento, il gruppo minaccia di divulgare i dati rubati su un sito di divulgazione ospitato su Tor. In alcuni casi, intensificano la pressione chiamando i numeri di telefono delle organizzazioni — come gli help desk o le linee del servizio clienti — individuati tramite attività di intelligence open source.