PLAY
Con il suo recente passaggio a un modello di Ransomware-as-a-Service (RaaS), PLAY - noto anche come PlayCrypt - sta prendendo di mira i Managed Service Provider (MSP) di tutto il mondo e ha colpito più di 300 entità.

L'origine di PLAY
Il gruppo di ransomware PLAY , sospettato di avere legami con la Russia a causa dell'uso di tecniche di crittografia tipiche dei gruppi di criminalità informatica affiliati alla Russia, è apparso nel 2022 con un'estensione di file '.play' distintiva per le sue attività di crittografia.
PLAY presenta analogie con Hive e Nokayawa. Un punto in comune notevole è l'utilizzo di AdFind, un'utility a riga di comando progettata per raccogliere dati da Active Directory, sottolineando i loro comportamenti operativi simili.

Paesi destinatari di PLAY
Inizialmente concentrati in Germania e in Europa, il gruppo ha poi esteso la sua portata a obiettivi compromessi negli Stati Uniti, in Brasile, Argentina, Messico e Australia.

Industrie interessate da PLAY
PLAYLe attività dell'azienda ruotano prevalentemente attorno al settore delle telecomunicazioni e sanità anche se non ha risparmiato le organizzazioni dei settori Media/Comunicazione, Trasporti, Costruzioni e Governo. settore governativo settori dei media e delle comunicazioni, dei trasporti, delle costruzioni e del governo.
Fonte: Trend Micro
PLAYVittime
Ad oggi, più di 814 vittime sono state vittime delle sue operazioni malevole.

PLAYMetodo di attacco

PLAY ottiene l'accesso utilizzando account legittimi e sfrutta le vulnerabilità di FortiOS e Microsoft Exchange.

PLAY escalation dei privilegi utilizzando strumenti come Mimikatz e aggiungendo gli utenti ai gruppi di amministratori.

PLAY elude le difese disabilitando i programmi antivirus, cancellando i registri e utilizzando una crittografia intermittente.

PLAY utilizza Mimikatz per scaricare le credenziali, eseguito come modulo di Cobalt Strike e Empirer.

PLAY esegue interrogazioni di Active Directory con AdFind e Bloodhound e l'enumerazione della rete con Grixba.

PLAY si diffonde lateralmente utilizzando Cobalt Strike e SystemBC ed esegue i file tramite gli Oggetti Criteri di gruppo.


PLAY distribuisce Empire, System BC, Cobalt Strike, PsExec e file batch per l'esecuzione.

Per l'esfiltrazione e la crittografia, PLAY segmenta i dati, utilizza WinRAR e WinSCP e impiega la crittografia ibrida AES-RSA con estensione '.play'.

Impattando i sistemi con tattiche di doppia estorsione, PLAY richiede riscatti in criptovaluta e minaccia la fuga di dati in caso di mancato pagamento.

PLAY ottiene l'accesso utilizzando account legittimi e sfrutta le vulnerabilità di FortiOS e Microsoft Exchange.

PLAY escalation dei privilegi utilizzando strumenti come Mimikatz e aggiungendo gli utenti ai gruppi di amministratori.

PLAY elude le difese disabilitando i programmi antivirus, cancellando i registri e utilizzando una crittografia intermittente.

PLAY utilizza Mimikatz per scaricare le credenziali, eseguito come modulo di Cobalt Strike e Empirer.

PLAY esegue interrogazioni di Active Directory con AdFind e Bloodhound e l'enumerazione della rete con Grixba.

PLAY si diffonde lateralmente utilizzando Cobalt Strike e SystemBC ed esegue i file tramite gli Oggetti Criteri di gruppo.


PLAY distribuisce Empire, System BC, Cobalt Strike, PsExec e file batch per l'esecuzione.

Per l'esfiltrazione e la crittografia, PLAY segmenta i dati, utilizza WinRAR e WinSCP e impiega la crittografia ibrida AES-RSA con estensione '.play'.

Impattando i sistemi con tattiche di doppia estorsione, PLAY richiede riscatti in criptovaluta e minaccia la fuga di dati in caso di mancato pagamento.
I TTP utilizzati da PLAY
Come rilevare PLAY con Vectra AI
Elenco dei rilevamenti disponibili nella piattaforma Vectra AI che indicano un attacco ransomware.
DOMANDE FREQUENTI
Che cos'è il gruppo PLAY Ransomware?
Il gruppo PLAY Ransomware è un'organizzazione di criminali informatici nota per la distribuzione di ransomware per criptare i file delle vittime, chiedendo il pagamento di un riscatto per le chiavi di decriptazione. Spesso prende di mira le organizzazioni con posizioni di sicurezza deboli.
Come fa il ransomware PLAY a infettare i sistemi?
PLAY I ransomware infettano tipicamente i sistemi attraverso le e-mail di phishing , i kit di exploit e le credenziali compromesse, sfruttando le vulnerabilità per ottenere l'accesso e distribuire il loro carico utile.
Quali sono i settori più a rischio di attacchi ransomware PLAY ?
Sebbene il ransomware PLAY abbia preso di mira un'ampia gamma di settori, le infrastrutture critiche, la sanità e i servizi finanziari sono stati particolarmente vulnerabili a causa della natura sensibile dei loro dati.
Quali sono gli indicatori di compromissione (IoC) associati al ransomware PLAY ?
Gli IoC per il ransomware PLAY includono traffico di rete insolito, modifiche sospette alle chiavi di registro, note di riscatto ed estensioni di file correlate al ransomware malware.
Come possono i team SOC rilevare e rispondere al ransomware PLAY ?
I team SOC devono utilizzare soluzioni avanzate di rilevamento delle minacce, condurre analisi regolari del traffico di rete e implementare sistemi di rilevamento e risposta alle minacce. L'isolamento immediato dei sistemi infetti e l'esecuzione di un piano di risposta sono fondamentali.
Quali sono le migliori pratiche per prevenire le infezioni da ransomware PLAY ?
Le migliori pratiche includono aggiornamenti regolari del software, formazione dei dipendenti sulla consapevolezza della cybersicurezza, un robusto filtro delle e-mail e l'uso dell'autenticazione a più fattori (MFA) per proteggere da phishing e dalla compromissione delle credenziali.
I dati criptati dal ransomware PLAY possono essere decifrati senza pagare il riscatto?
Sebbene non siano sempre disponibili strumenti di decriptazione specifici per il ransomware PLAY , è consigliabile consultare gli esperti di sicurezza informatica ed esplorare gli strumenti di decriptazione disponibili per varianti di ransomware simili prima di considerare il pagamento di un riscatto.
Come opera finanziariamente il gruppo di ransomware PLAY ?
Il gruppo PLAY opera secondo un modello di riscatto, richiedendo pagamenti spesso in criptovalute. Può anche adottare tattiche di doppia estorsione, minacciando di diffondere i dati rubati se il riscatto non viene pagato.
Cosa dovrebbe includere un piano di risposta per un attacco ransomware PLAY ?
Un piano di risposta deve includere l'isolamento immediato dei sistemi colpiti, l'identificazione del ceppo di ransomware, i protocolli di comunicazione, le procedure di recupero dei dati dai backup e le considerazioni legali sul pagamento del riscatto.
Come possono le organizzazioni collaborare con le forze dell'ordine in seguito a un attacco ransomware PLAY ?
Le organizzazioni devono segnalare l'incidente alle autorità di sicurezza informatica locali o nazionali, fornendo informazioni dettagliate sull'attacco senza compromettere le operazioni in corso o le leggi sulla privacy dei dati.