Bollettino dei cyberattacchi: In che modo gli attori delle minacce utilizzano i certificati EV

Bollettino dei cyberattacchi: In che modo gli attori delle minacce utilizzano i certificati EV

Icona dell'hamburger in alto
Icona dell'hamburger linea centrale
Icona dell'hamburger linea di fondo
cybercriminels
>
Gruppo Ransomware

PLAY

Con il suo recente passaggio a un modello di Ransomware-as-a-Service (RaaS), PLAY - noto anche come PlayCrypt - sta prendendo di mira i Managed Service Provider (MSP) di tutto il mondo e ha colpito più di 300 entità.

Rilevare i TTP di PLAY
La vostra organizzazione è al sicuro dagli attacchi ransomware di PLAY ?
Contesto e obiettivi
TTP
Mappatura MITRE
Rilevamento
DOMANDE FREQUENTI
Guarda il Briefing sulle minacce
CONTESTO
PAESI
INDUSTRIE
VITTIME

L'origine di PLAY

Il gruppo di ransomware PLAY , sospettato di avere legami con la Russia a causa dell'uso di tecniche di crittografia tipiche dei gruppi di criminalità informatica affiliati alla Russia, è apparso nel 2022 con un'estensione di file '.play' distintiva per le sue attività di crittografia.

PLAY presenta analogie con Hive e Nokayawa. Un punto in comune notevole è l'utilizzo di AdFind, un'utility a riga di comando progettata per raccogliere dati da Active Directory, sottolineando i loro comportamenti operativi simili.

Fonte: OCD

Paesi destinatari di PLAY

Inizialmente concentrati in Germania e in Europa, il gruppo ha poi esteso la sua portata a obiettivi compromessi negli Stati Uniti, in Brasile, Argentina, Messico e Australia.

Fonte: ransomware.live

Industrie interessate da PLAY

PLAYLe attività dell'azienda ruotano prevalentemente attorno al settore delle telecomunicazioni e sanità anche se non ha risparmiato le organizzazioni dei settori Media/Comunicazione, Trasporti, Costruzioni e Governo. settore governativo settori dei media e delle comunicazioni, dei trasporti, delle costruzioni e del governo.

Fonte: Trend Micro

Telecommunications

Healthcare

Federal

PLAYVittime

Ad oggi, più di 814 vittime sono state vittime delle sue operazioni malevole.

Fonte: ransomware.live

Metodo di attacco

PLAYMetodo di attacco

Accesso iniziale
Escalation dei privilegi
Difesa Evasione
Accesso alle credenziali
Scoperta
Movimento laterale
Collezione
Esecuzione
Esfiltrazione
Impatto
Una figura ombrosa che getta un'ampia rete su un paesaggio digitale pieno di vari dispositivi come computer, smartphone e tablet. La rete simboleggia i tentativi dell'attaccante di trovare vulnerabilità o di utilizzare le tecniche di phishing per ottenere un accesso non autorizzato.

PLAY ottiene l'accesso utilizzando account legittimi e sfrutta le vulnerabilità di FortiOS e Microsoft Exchange.

Una scala digitale che si estende verso l'alto da un'icona utente di base verso una corona che simboleggia i privilegi amministrativi. Questo rappresenta gli sforzi dell'attaccante per ottenere un accesso di livello superiore all'interno del sistema.

PLAY escalation dei privilegi utilizzando strumenti come Mimikatz e aggiungendo gli utenti ai gruppi di amministratori.

Un camaleonte che si mimetizza in uno sfondo digitale, con zeri e uno che gli scorrono intorno. Questo rappresenta la capacità dell'attaccante di evitare il rilevamento da parte delle misure di sicurezza, cambiando tattica per confondersi con il normale traffico di rete.

PLAY elude le difese disabilitando i programmi antivirus, cancellando i registri e utilizzando una crittografia intermittente.

Un ladro con un kit di grimaldelli che lavora su un buco della serratura gigante a forma di modulo di login, che rappresenta gli sforzi dell'attaccante di rubare le credenziali dell'utente per ottenere un accesso non autorizzato.

PLAY utilizza Mimikatz per scaricare le credenziali, eseguito come modulo di Cobalt Strike e Empirer.

Una lente di ingrandimento che si muove su una mappa digitale di una rete, evidenziando file, cartelle e connessioni di rete. Questa immagine rappresenta la fase in cui gli aggressori esplorano l'ambiente per capire la struttura e dove risiedono i dati preziosi.

PLAY esegue interrogazioni di Active Directory con AdFind e Bloodhound e l'enumerazione della rete con Grixba.

Una serie di nodi interconnessi con una figura oscura che si muove furtivamente tra di essi. Questo illustra i movimenti dell'attaccante all'interno della rete, che cerca di ottenere il controllo di altri sistemi o di diffondere malware.

PLAY si diffonde lateralmente utilizzando Cobalt Strike e SystemBC ed esegue i file tramite gli Oggetti Criteri di gruppo.

Un grande aspirapolvere che aspira file, icone di dati e cartelle in un sacchetto tenuto da una figura in ombra. Questa immagine simboleggia il processo di raccolta di dati preziosi dalla rete di destinazione.
Una finestra del prompt dei comandi aperta davanti a uno sfondo digitale, con la digitazione di codice dannoso. Questa rappresenta la fase in cui gli aggressori eseguono il loro payload dannoso all'interno del sistema compromesso.

PLAY distribuisce Empire, System BC, Cobalt Strike, PsExec e file batch per l'esecuzione.

Una serie di file che vengono convogliati attraverso un canale nascosto da un computer a un sito cloud etichettato con un teschio, che simboleggia il trasferimento non autorizzato di dati a una posizione controllata dall'aggressore.

Per l'esfiltrazione e la crittografia, PLAY segmenta i dati, utilizza WinRAR e WinSCP e impiega la crittografia ibrida AES-RSA con estensione '.play'.

Uno schermo incrinato con dietro un paesaggio urbano digitale in preda al caos, che simboleggia l'impatto distruttivo del cyberattacco, come l'interruzione del servizio, la distruzione dei dati o la perdita finanziaria.

Impattando i sistemi con tattiche di doppia estorsione, PLAY richiede riscatti in criptovaluta e minaccia la fuga di dati in caso di mancato pagamento.

Una figura ombrosa che getta un'ampia rete su un paesaggio digitale pieno di vari dispositivi come computer, smartphone e tablet. La rete simboleggia i tentativi dell'attaccante di trovare vulnerabilità o di utilizzare le tecniche di phishing per ottenere un accesso non autorizzato.
Accesso iniziale

PLAY ottiene l'accesso utilizzando account legittimi e sfrutta le vulnerabilità di FortiOS e Microsoft Exchange.

Una scala digitale che si estende verso l'alto da un'icona utente di base verso una corona che simboleggia i privilegi amministrativi. Questo rappresenta gli sforzi dell'attaccante per ottenere un accesso di livello superiore all'interno del sistema.
Escalation dei privilegi

PLAY escalation dei privilegi utilizzando strumenti come Mimikatz e aggiungendo gli utenti ai gruppi di amministratori.

Un camaleonte che si mimetizza in uno sfondo digitale, con zeri e uno che gli scorrono intorno. Questo rappresenta la capacità dell'attaccante di evitare il rilevamento da parte delle misure di sicurezza, cambiando tattica per confondersi con il normale traffico di rete.
Difesa Evasione

PLAY elude le difese disabilitando i programmi antivirus, cancellando i registri e utilizzando una crittografia intermittente.

Un ladro con un kit di grimaldelli che lavora su un buco della serratura gigante a forma di modulo di login, che rappresenta gli sforzi dell'attaccante di rubare le credenziali dell'utente per ottenere un accesso non autorizzato.
Accesso alle credenziali

PLAY utilizza Mimikatz per scaricare le credenziali, eseguito come modulo di Cobalt Strike e Empirer.

Una lente di ingrandimento che si muove su una mappa digitale di una rete, evidenziando file, cartelle e connessioni di rete. Questa immagine rappresenta la fase in cui gli aggressori esplorano l'ambiente per capire la struttura e dove risiedono i dati preziosi.
Scoperta

PLAY esegue interrogazioni di Active Directory con AdFind e Bloodhound e l'enumerazione della rete con Grixba.

Una serie di nodi interconnessi con una figura oscura che si muove furtivamente tra di essi. Questo illustra i movimenti dell'attaccante all'interno della rete, che cerca di ottenere il controllo di altri sistemi o di diffondere malware.
Movimento laterale

PLAY si diffonde lateralmente utilizzando Cobalt Strike e SystemBC ed esegue i file tramite gli Oggetti Criteri di gruppo.

Un grande aspirapolvere che aspira file, icone di dati e cartelle in un sacchetto tenuto da una figura in ombra. Questa immagine simboleggia il processo di raccolta di dati preziosi dalla rete di destinazione.
Collezione
Una finestra del prompt dei comandi aperta davanti a uno sfondo digitale, con la digitazione di codice dannoso. Questa rappresenta la fase in cui gli aggressori eseguono il loro payload dannoso all'interno del sistema compromesso.
Esecuzione

PLAY distribuisce Empire, System BC, Cobalt Strike, PsExec e file batch per l'esecuzione.

Una serie di file che vengono convogliati attraverso un canale nascosto da un computer a un sito cloud etichettato con un teschio, che simboleggia il trasferimento non autorizzato di dati a una posizione controllata dall'aggressore.
Esfiltrazione

Per l'esfiltrazione e la crittografia, PLAY segmenta i dati, utilizza WinRAR e WinSCP e impiega la crittografia ibrida AES-RSA con estensione '.play'.

Uno schermo incrinato con dietro un paesaggio urbano digitale in preda al caos, che simboleggia l'impatto distruttivo del cyberattacco, come l'interruzione del servizio, la distruzione dei dati o la perdita finanziaria.
Impatto

Impattando i sistemi con tattiche di doppia estorsione, PLAY richiede riscatti in criptovaluta e minaccia la fuga di dati in caso di mancato pagamento.

MITRE ATT&CK Mappatura

I TTP utilizzati da PLAY

TA0001: Initial Access
T1190
Exploit Public-Facing Application
T1133
External Remote Services
T1078
Valid Accounts
TA0002: Execution
No items found.
TA0003: Persistence
T1078
Valid Accounts
TA0004: Privilege Escalation
T1484
Group Policy Modification
T1078
Valid Accounts
TA0005: Defense Evasion
T1070
Indicator Removal
T1562
Impair Defenses
T1484
Group Policy Modification
T1078
Valid Accounts
TA0006: Credential Access
T1552
Unsecured Credentials
T1003
OS Credential Dumping
TA0007: Discovery
T1518
Software Discovery
T1016
System Network Configuration Discovery
TA0008: Lateral Movement
T1570
Lateral Tool Transfer
TA0009: Collection
T1560
Archive Collected Data
TA0011: Command and Control
No items found.
TA0010: Exfiltration
T1048
Exfiltration Over Alternative Protocol
TA0040: Impact
T1657
Financial Theft
T1486
Data Encrypted for Impact
Rilevamenti della piattaforma

Come rilevare PLAY con Vectra AI

Elenco dei rilevamenti disponibili nella piattaforma Vectra AI che indicano un attacco ransomware.

AWS Logging Disabled

AWS Ransomware S3 Activity

AWS Root Credential Usage

AWS Security Tools Disabled

AWS Suspect Admin Privilege Granting

AWS Suspect Credential Access from EC2

Visualizza altri rilevamenti
Valutare l'esposizione agli attacchi

DOMANDE FREQUENTI

Che cos'è il gruppo PLAY Ransomware?

Il gruppo PLAY Ransomware è un'organizzazione di criminali informatici nota per la distribuzione di ransomware per criptare i file delle vittime, chiedendo il pagamento di un riscatto per le chiavi di decriptazione. Spesso prende di mira le organizzazioni con posizioni di sicurezza deboli.

Come fa il ransomware PLAY a infettare i sistemi?

PLAY I ransomware infettano tipicamente i sistemi attraverso le e-mail di phishing , i kit di exploit e le credenziali compromesse, sfruttando le vulnerabilità per ottenere l'accesso e distribuire il loro carico utile.

Quali sono i settori più a rischio di attacchi ransomware PLAY ?

Sebbene il ransomware PLAY abbia preso di mira un'ampia gamma di settori, le infrastrutture critiche, la sanità e i servizi finanziari sono stati particolarmente vulnerabili a causa della natura sensibile dei loro dati.

Quali sono gli indicatori di compromissione (IoC) associati al ransomware PLAY ?

Gli IoC per il ransomware PLAY includono traffico di rete insolito, modifiche sospette alle chiavi di registro, note di riscatto ed estensioni di file correlate al ransomware malware.

Come possono i team SOC rilevare e rispondere al ransomware PLAY ?

I team SOC devono utilizzare soluzioni avanzate di rilevamento delle minacce, condurre analisi regolari del traffico di rete e implementare sistemi di rilevamento e risposta alle minacce. L'isolamento immediato dei sistemi infetti e l'esecuzione di un piano di risposta sono fondamentali.

Quali sono le migliori pratiche per prevenire le infezioni da ransomware PLAY ?

Le migliori pratiche includono aggiornamenti regolari del software, formazione dei dipendenti sulla consapevolezza della cybersicurezza, un robusto filtro delle e-mail e l'uso dell'autenticazione a più fattori (MFA) per proteggere da phishing e dalla compromissione delle credenziali.

I dati criptati dal ransomware PLAY possono essere decifrati senza pagare il riscatto?

Sebbene non siano sempre disponibili strumenti di decriptazione specifici per il ransomware PLAY , è consigliabile consultare gli esperti di sicurezza informatica ed esplorare gli strumenti di decriptazione disponibili per varianti di ransomware simili prima di considerare il pagamento di un riscatto.

Come opera finanziariamente il gruppo di ransomware PLAY ?

Il gruppo PLAY opera secondo un modello di riscatto, richiedendo pagamenti spesso in criptovalute. Può anche adottare tattiche di doppia estorsione, minacciando di diffondere i dati rubati se il riscatto non viene pagato.

Cosa dovrebbe includere un piano di risposta per un attacco ransomware PLAY ?

Un piano di risposta deve includere l'isolamento immediato dei sistemi colpiti, l'identificazione del ceppo di ransomware, i protocolli di comunicazione, le procedure di recupero dei dati dai backup e le considerazioni legali sul pagamento del riscatto.

Come possono le organizzazioni collaborare con le forze dell'ordine in seguito a un attacco ransomware PLAY ?

Le organizzazioni devono segnalare l'incidente alle autorità di sicurezza informatica locali o nazionali, fornendo informazioni dettagliate sull'attacco senza compromettere le operazioni in corso o le leggi sulla privacy dei dati.

La vostra organizzazione è al sicuro dagli attacchi ransomware di PLAY ?

Valutare l'esposizione agli attacchi