PLAY

Gli operatori di ransomware giocano spesso iniziando ad accedere con credenziali valide, probabilmente acquistate sui mercati del dark web. Queste credenziali sono in genere legate a servizi di accesso remoto come VPN o Remote Desktop Protocol (RDP). Quando le credenziali non sono disponibili, sfruttano le vulnerabilità delle applicazioni rivolte a Internet. I punti di accesso noti includono falle in Fortinet FortiOS e nei server Microsoft Exchange (come ProxyNotShell). All'inizio del 2025, insieme ai broker di accesso affiliati, hanno iniziato a sfruttare una vulnerabilità recentemente divulgata nello strumento di monitoraggio remoto SimpleHelp per eseguire codice remoto e accedere silenziosamente ai sistemi interni.

Una volta entrati, gli attori di Play elevano i loro privilegi identificando configurazioni errate o debolezze del software. Utilizzano strumenti come WinPEAS per enumerare le opportunità di escalation dei privilegi locali e spesso passano a sfruttarle direttamente. In molti incidenti osservati, gli attori utilizzano anche strumenti come Nekto o PriviCMD per aumentare l'accesso. In definitiva, il loro obiettivo è quello di ottenere i privilegi di amministratore del dominio in modo da poter controllare completamente l'ambiente e spingere i payload del ransomware su larga scala.

Per evitare il rilevamento, gli aggressori disabilitano sistematicamente il software di sicurezza. Strumenti come GMER, IOBit e PowerTool vengono utilizzati per eliminare i processi antivirus, mentre gli script PowerShell vengono utilizzati per disattivare Microsoft Defender. Inoltre, cancellano i registri e altri artefatti forensi dai registri eventi di Windows, riducendo le possibilità che i difensori possano rilevare la loro attività o ricostruire la timeline dell'intrusione.

Gli attori del ransomware cercano attivamente le credenziali negli ambienti compromessi. Setacciano i file non protetti e i dati di configurazione per estrarre le credenziali memorizzate e, quando possibile, distribuiscono Mimikatz per scaricare le credenziali di autenticazione direttamente dalla memoria. Questo strumento viene talvolta eseguito attraverso piattaforme come Cobalt Strikeconsentendo agli aggressori di raccogliere le credenziali dell'amministratore di dominio senza attivare gli avvisi tradizionali.

Durante la fase di scoperta, gli operatori di Play effettuano una ricognizione interna per comprendere il layout della rete e identificare obiettivi di valore. Utilizzano strumenti come AdFind e Grixba per enumerare le strutture di Active Directory, elencare i nomi di host e identificare il software installato, compresi gli strumenti di protezione endpoint . Questa ricognizione aiuta a guidare gli spostamenti laterali e a evitare le zone di sicurezza ad alto attrito.

Per spostarsi attraverso la rete, gli attori si affidano a strumenti di movimento laterale come PsExec per eseguire comandi in remoto. Utilizzano anche framework di post-exploitation come Cobalt Strike e SystemBC per mantenere il comando e il controllo su altri computer. Una volta ottenuto l'accesso a livello di dominio, possono distribuire i payload tramite gli oggetti dei Criteri di gruppo, inviando di fatto i binari del ransomware ai sistemi in massa.

Prima di criptare i dati, gli operatori di Play preparano i file per l'esfiltrazione. Spesso suddividono i dati rubati in parti più piccole e li comprimono in .RAR archivi utilizzando WinRAR. Questa fase garantisce che i dati siano pronti per il trasferimento e la sua struttura riduce la probabilità di attivare strumenti di prevenzione della perdita di dati (DLP) o avvisi endpoint .

L'esecuzione avviene attraverso una combinazione di controllo manuale e distribuzione automatica. I binari del ransomware vengono spesso consegnati ed eseguiti tramite PsExec, Cobalt Strike o modifiche ai Criteri di gruppo. Ogni binario è compilato in modo univoco per l'ambiente di destinazione, il che consente di eludere il rilevamento antivirus basato sulle firme. Al momento dell'esecuzione, il ransomware inizia a crittografare i file saltando i file di sistema per mantenere il tempo di attività operativa fino alla richiesta di riscatto.

Una volta che i dati vengono messi in scena, gli attori utilizzano strumenti come WinSCP per trasmettere in modo sicuro i dati rubati alla loro infrastruttura attraverso canali crittografati. Questi file vengono in genere archiviati in ambienti controllati dagli aggressori e ospitati al di fuori del dominio della vittima. Il gruppo utilizza diversi metodi di trasferimento per eludere le soluzioni di monitoraggio del traffico e massimizzare la velocità di estrazione dei dati prima dell'inizio della crittografia.

‍

Il ransomware Play utilizza un doppia estorsione modello: dopo aver rubato i dati, criptano i file della vittima e chiedono il pagamento attraverso comunicazioni via e-mail, di solito legate a indirizzi unici su @gmx.de o @web.de. I file crittografati vengono rinominati con un nome di tipo PLAY e una nota di riscatto viene lasciata nelle directory pubbliche. Se non viene effettuato il pagamento, il gruppo minaccia di diffondere i dati rubati su un sito di leak ospitato da Tor. In alcuni casi, intensificano la pressione chiamando i numeri di telefono delle organizzazioni, come gli help desk o le linee di assistenza clienti, trovati grazie a informazioni di fonte aperta.