PLAY
Con il suo recente passaggio a un modello di Ransomware-as-a-Service (RaaS), PLAY - noto anche come PlayCrypt - sta prendendo di mira i Managed Service Provider (MSP) di tutto il mondo e ha colpito più di 300 entità.
L'origine di PLAY
Il gruppo di ransomware PLAY , sospettato di avere legami con la Russia a causa dell'uso di tecniche di crittografia tipiche dei gruppi di criminalità informatica affiliati alla Russia, è apparso nel 2022 con un'estensione di file '.play' distintiva per le sue attività di crittografia.
PLAY presenta analogie con Hive e Nokayawa. Un punto in comune notevole è l'utilizzo di AdFind, un'utility a riga di comando progettata per raccogliere dati da Active Directory, sottolineando i loro comportamenti operativi simili.
Fonte: Trend Micro e OCD
Obiettivi
PLAYObiettivi
Paesi destinatari di PLAY
Concentrando i propri attacchi informatici principalmente in Germania, il gruppo ha esteso la propria portata a obiettivi compromessi negli Stati Uniti, in Brasile, Argentina, Portogallo, Belgio e Svizzera.
Fonte: Trend Micro
Industrie interessate da PLAY
PLAYLe attività dell'azienda ruotano prevalentemente attorno al settore delle telecomunicazioni e sanità anche se non ha risparmiato le organizzazioni dei settori Media/Comunicazione, Trasporti, Costruzioni e Governo. settore governativo settori dei media e delle comunicazioni, dei trasporti, delle costruzioni e del governo.
Fonte: Trend Micro
Industrie interessate da PLAY
PLAYLe attività dell'azienda ruotano prevalentemente attorno al settore delle telecomunicazioni e sanità anche se non ha risparmiato le organizzazioni dei settori Media/Comunicazione, Trasporti, Costruzioni e Governo. settore governativo settori dei media e delle comunicazioni, dei trasporti, delle costruzioni e del governo.
Fonte: Trend Micro
PLAYVittime
Ad oggi, più di 436 vittime sono state vittime delle sue operazioni malevole.
Fonte: ransomware.live
Metodo di attacco
PLAYMetodo di attacco
PLAY ottiene l'accesso utilizzando account legittimi e sfrutta le vulnerabilità di FortiOS e Microsoft Exchange.
PLAY escalation dei privilegi utilizzando strumenti come Mimikatz e aggiungendo gli utenti ai gruppi di amministratori.
PLAY elude le difese disabilitando i programmi antivirus, cancellando i registri e utilizzando una crittografia intermittente.
PLAY utilizza Mimikatz per scaricare le credenziali, eseguito come modulo di Cobalt Strike e Empirer.
PLAY esegue interrogazioni di Active Directory con AdFind e Bloodhound e l'enumerazione della rete con Grixba.
PLAY si diffonde lateralmente utilizzando Cobalt Strike e SystemBC ed esegue i file tramite gli Oggetti Criteri di gruppo.
PLAY distribuisce Empire, System BC, Cobalt Strike, PsExec e file batch per l'esecuzione.
Per l'esfiltrazione e la crittografia, PLAY segmenta i dati, utilizza WinRAR e WinSCP e impiega la crittografia ibrida AES-RSA con estensione '.play'.
Impattando i sistemi con tattiche di doppia estorsione, PLAY richiede riscatti in criptovaluta e minaccia la fuga di dati in caso di mancato pagamento.
Accesso iniziale
PLAY ottiene l'accesso utilizzando account legittimi e sfrutta le vulnerabilità di FortiOS e Microsoft Exchange.
Escalation dei privilegi
PLAY escalation dei privilegi utilizzando strumenti come Mimikatz e aggiungendo gli utenti ai gruppi di amministratori.
Difesa Evasione
PLAY elude le difese disabilitando i programmi antivirus, cancellando i registri e utilizzando una crittografia intermittente.
Accesso alle credenziali
PLAY utilizza Mimikatz per scaricare le credenziali, eseguito come modulo di Cobalt Strike e Empirer.
Scoperta
PLAY esegue interrogazioni di Active Directory con AdFind e Bloodhound e l'enumerazione della rete con Grixba.
Movimento laterale
PLAY si diffonde lateralmente utilizzando Cobalt Strike e SystemBC ed esegue i file tramite gli Oggetti Criteri di gruppo.
Collezione
Esecuzione
PLAY distribuisce Empire, System BC, Cobalt Strike, PsExec e file batch per l'esecuzione.
Esfiltrazione
Per l'esfiltrazione e la crittografia, PLAY segmenta i dati, utilizza WinRAR e WinSCP e impiega la crittografia ibrida AES-RSA con estensione '.play'.
Impatto
Impattando i sistemi con tattiche di doppia estorsione, PLAY richiede riscatti in criptovaluta e minaccia la fuga di dati in caso di mancato pagamento.
MITRE ATT&CK Mappatura
I TTP utilizzati da PLAY
PLAY attacca strategicamente i sistemi di backup per lasciare le vittime senza opzioni alternative di recupero dei dati, impiegando strategie meticolose per eliminare le capacità di backup.
TA0001: Initial Access
T1190
Exploit Public-Facing Application
T1133
External Remote Services
T1078
Valid Accounts
TA0002: Execution
No items found.
TA0003: Persistence
T1078
Valid Accounts
TA0004: Privilege Escalation
T1484
Group Policy Modification
T1078
Valid Accounts
TA0005: Defense Evasion
T1070
Indicator Removal
T1562
Impair Defenses
T1484
Group Policy Modification
T1078
Valid Accounts
TA0006: Credential Access
T1552
Unsecured Credentials
T1003
OS Credential Dumping
TA0007: Discovery
T1518
Software Discovery
T1016
System Network Configuration Discovery
TA0008: Lateral Movement
T1570
Lateral Tool Transfer
TA0009: Collection
T1560
Archive Collected Data
TA0011: Command and Control
No items found.
TA0010: Exfiltration
T1048
Exfiltration Over Alternative Protocol
TA0040: Impact
T1657
Financial Theft
T1486
Data Encrypted for Impact
Rilevamenti della piattaforma
Come rilevare PLAY con Vectra AI
Elenco dei rilevamenti disponibili nella piattaforma Vectra AI che indicano un attacco ransomware.
DOMANDE FREQUENTI
Che cos'è il gruppo PLAY Ransomware?
Il gruppo PLAY Ransomware è un'organizzazione di criminali informatici nota per la distribuzione di ransomware per criptare i file delle vittime, chiedendo il pagamento di un riscatto per le chiavi di decriptazione. Spesso prende di mira le organizzazioni con posizioni di sicurezza deboli.
Come fa il ransomware PLAY a infettare i sistemi?
PLAY I ransomware infettano tipicamente i sistemi attraverso le e-mail di phishing , i kit di exploit e le credenziali compromesse, sfruttando le vulnerabilità per ottenere l'accesso e distribuire il loro carico utile.
Quali sono i settori più a rischio di attacchi ransomware PLAY ?
Sebbene il ransomware PLAY abbia preso di mira un'ampia gamma di settori, le infrastrutture critiche, la sanità e i servizi finanziari sono stati particolarmente vulnerabili a causa della natura sensibile dei loro dati.
Quali sono gli indicatori di compromissione (IoC) associati al ransomware PLAY ?
Gli IoC per il ransomware PLAY includono traffico di rete insolito, modifiche sospette alle chiavi di registro, note di riscatto ed estensioni di file correlate al ransomware malware.
Come possono i team SOC rilevare e rispondere al ransomware PLAY ?
I team SOC devono utilizzare soluzioni avanzate di rilevamento delle minacce, condurre analisi regolari del traffico di rete e implementare sistemi di rilevamento e risposta alle minacce. L'isolamento immediato dei sistemi infetti e l'esecuzione di un piano di risposta sono fondamentali.
Quali sono le migliori pratiche per prevenire le infezioni da ransomware PLAY ?
Le migliori pratiche includono aggiornamenti regolari del software, formazione dei dipendenti sulla consapevolezza della cybersicurezza, un robusto filtro delle e-mail e l'uso dell'autenticazione a più fattori (MFA) per proteggere da phishing e dalla compromissione delle credenziali.
I dati criptati dal ransomware PLAY possono essere decifrati senza pagare il riscatto?
Sebbene non siano sempre disponibili strumenti di decriptazione specifici per il ransomware PLAY , è consigliabile consultare gli esperti di sicurezza informatica ed esplorare gli strumenti di decriptazione disponibili per varianti di ransomware simili prima di considerare il pagamento di un riscatto.
Come opera finanziariamente il gruppo di ransomware PLAY ?
Il gruppo PLAY opera secondo un modello di riscatto, richiedendo pagamenti spesso in criptovalute. Può anche adottare tattiche di doppia estorsione, minacciando di diffondere i dati rubati se il riscatto non viene pagato.
Cosa dovrebbe includere un piano di risposta per un attacco ransomware PLAY ?
Un piano di risposta deve includere l'isolamento immediato dei sistemi colpiti, l'identificazione del ceppo di ransomware, i protocolli di comunicazione, le procedure di recupero dei dati dai backup e le considerazioni legali sul pagamento del riscatto.
Come possono le organizzazioni collaborare con le forze dell'ordine in seguito a un attacco ransomware PLAY ?
Le organizzazioni devono segnalare l'incidente alle autorità di sicurezza informatica locali o nazionali, fornendo informazioni dettagliate sull'attacco senza compromettere le operazioni in corso o le leggi sulla privacy dei dati.