PLAY

Les opérateurs de Play ransomware commencent souvent par se connecter à l'aide d'informations d'identification valides, probablement achetées sur des places de marché du dark web. Ces identifiants sont généralement liés à des services d'accès à distance tels que les VPN ou le protocole de bureau à distance (RDP). Lorsque les informations d'identification ne sont pas disponibles, ils exploitent les vulnérabilités des applications Internet. Parmi les points d'entrée connus figurent des failles dans Fortinet FortiOS et les serveurs Microsoft Exchange (comme ProxyNotShell). Au début de l'année 2025, ils ont commencé, avec des courtiers d'accès affiliés, à exploiter une vulnérabilité récemment révélée dans l'outil de surveillance à distance SimpleHelp afin d'exécuter du code à distance et d'accéder silencieusement à des systèmes internes.

Une fois à l'intérieur, les acteurs du jeu élèvent leurs privilèges en identifiant les mauvaises configurations ou les faiblesses des logiciels. Ils utilisent des outils tels que WinPEAS pour énumérer les possibilités d'escalade des privilèges locaux et les exploitent souvent directement. Dans de nombreux incidents observés, les acteurs déploient également des outils tels que Nekto ou PriviCMD pour escalader leur accès. En fin de compte, leur objectif est d'obtenir des privilèges d'administrateur de domaine afin de pouvoir contrôler entièrement l'environnement et de diffuser largement les charges utiles des ransomwares.

Pour éviter d'être détectés, les attaquants désactivent systématiquement les logiciels de sécurité. Des outils tels que GMER, IOBit et PowerTool sont utilisés pour tuer les processus antivirus, tandis que des scripts PowerShell sont utilisés pour désactiver Microsoft Defender. Ils effacent également les journaux et autres artefacts médico-légaux des journaux d'événements Windows, réduisant ainsi les chances que les défenseurs puissent détecter leur activité ou reconstituer leur chronologie d'intrusion.

Les acteurs du ransomware Play recherchent activement des informations d'identification dans les environnements compromis. Ils passent au peigne fin les fichiers non sécurisés et les données de configuration pour extraire les informations d'identification stockées et, si possible, déploient Mimikatz pour extraire les informations d'authentification directement de la mémoire. Cet outil est parfois exécuté par des plateformes telles que Cobalt Strikequi permet aux attaquants de récupérer les informations d'identification des administrateurs de domaine sans déclencher les alertes traditionnelles.

Au cours de la phase de découverte, les opérateurs de Play procèdent à une reconnaissance interne afin de comprendre la structure du réseau et d'identifier les cibles intéressantes. Ils utilisent des outils comme AdFind et Grixba pour énumérer les structures Active Directory, dresser la liste des noms d'hôtes et identifier les logiciels installés, y compris les outils de protection des endpoint . Cette reconnaissance permet de guider leurs mouvements latéraux et d'éviter les zones de sécurité à forte friction.

Pour se déplacer sur le réseau, les acteurs s'appuient sur des outils de déplacement latéral tels que PsExec pour exécuter des commandes à distance. Ils utilisent également des cadres de post-exploitation tels que Cobalt Strike et SystemBC pour maintenir le commandement et le contrôle sur d'autres machines. Une fois l'accès au niveau du domaine obtenu, ils peuvent distribuer des charges utiles via des objets de stratégie de groupe, poussant ainsi les binaires du ransomware sur les systèmes en masse.

Avant de crypter les données, les opérateurs Play préparent les fichiers à l'exfiltration. Ils divisent souvent les données volées en petits morceaux et les compressent en .RAR archives en utilisant WinRAR. Cette étape permet de s'assurer que les données sont prêtes à être transférées, et sa structure réduit la probabilité de déclencher des outils de prévention des pertes de données (DLP) ou des alertes sur endpoint .

L'exécution se fait par une combinaison de contrôle manuel et de distribution automatisée. Les binaires de ransomware sont souvent livrés et exécutés via PsExec, Cobalt Strike ou des modifications de la stratégie de groupe. Chaque binaire est compilé de manière unique pour l'environnement cible, ce qui permet de contourner la détection antivirus basée sur les signatures. Une fois exécuté, le ransomware commence à chiffrer les fichiers tout en ignorant les fichiers système afin de maintenir le temps de fonctionnement jusqu'à ce que la demande de rançon soit émise.

Une fois les données mises en scène, les acteurs du jeu utilisent des outils tels que WinSCP pour transmettre en toute sécurité les données volées à leur infrastructure via des canaux cryptés. Ces fichiers sont généralement stockés dans des environnements contrôlés par les attaquants et hébergés en dehors du domaine de la victime. Le groupe utilise plusieurs méthodes de transfert pour échapper aux solutions de surveillance du trafic et maximiser la vitesse d'extraction des données avant le début du chiffrement.

‍

Le ransomware Play utilise un double extorsion modèle : après avoir volé des données, ils cryptent les fichiers de la victime et exigent le paiement par le biais de communications par courrier électronique, généralement liées à des adresses uniques sur @gmx.de ou @web.de. Les fichiers cryptés sont renommés avec un nom de fichier PLAY et une note de rançon est laissée dans les répertoires publics. Si aucun paiement n'est effectué, le groupe menace de divulguer les données volées sur un site de fuite hébergé par Tor. Dans certains cas, ils intensifient la pression en appelant les numéros de téléphone d'organisations - comme les services d'assistance ou les lignes de service à la clientèle - trouvés grâce à des renseignements de source ouverte.