PLAY
Avec son récent passage à un modèle de Ransomware-as-a-Service (RaaS), PLAY - également connu sous le nom de PlayCrypt - cible désormais les fournisseurs de services gérés (MSP) dans le monde entier, et a touché plus de 300 entités.

Les origines de PLAY
Le groupe de ransomwares PLAY, soupçonné d'avoir des liens avec la Russie en raison de son utilisation de techniques de chiffrement caractéristiques des organisations de cybercriminalité affiliées à la Russie, a fait surface en 2022 avec une extension de fichier ".play" distinctive pour ses activités de chiffrement.
PLAY présente des similitudes avec Hive et Nokayawa. Un point commun notable est leur utilisation d'AdFind, un utilitaire de ligne de commande conçu pour collecter des données à partir d'Active Directory, ce qui souligne la similitude de leurs comportements opérationnels.

Pays ciblés par PLAY
Le groupe a d'abord concentré ses cyber-attaques sur l'Allemagne et l'Europe, puis a étendu son champ d'action pour compromettre des cibles aux États-Unis, au Brésil, en Argentine, au Mexique et en Australie.

Secteurs d'activité ciblés par PLAY
PLAYLes activités de l'entreprise tournent principalement autour des télécommunications et soins de santé mais elle n'a pas épargné les organisations des secteurs des médias/communications, des transports, de la construction et de l'administration publique. gouvernement des secteurs des médias et des communications, des transports, de la construction et des administrations publiques.
Source : Trend Micro
Les victimes de PLAY
À ce jour, plus de 814 personnes ont été victimes de ses opérations malveillantes.

Méthode d'attaque de PLAY

PLAY obtient un accès en utilisant des comptes légitimes et exploite les vulnérabilités de FortiOS et de Microsoft Exchange.

PLAY escalade les privilèges à l'aide d'outils tels que Mimikatz et ajoute des utilisateurs aux groupes d'administrateurs.

PLAY échappe aux défenses en désactivant les programmes antivirus, en effaçant les journaux et en utilisant un cryptage intermittent.

PLAY utilise Mimikatz pour vider les informations d'identification, exécuté en tant que module de Cobalt Strike et Empirer.

PLAY effectue des recherches dans Active Directory à l'aide d'AdFind et de Bloodhound, ainsi que l'énumération de réseaux avec Grixba.

PLAY se propage latéralement à l'aide de Cobalt Strike et SystemBC, et exécute des fichiers par le biais d'objets de stratégie de groupe.


PLAY déploie Empire, System BC, Cobalt Strike, PsExec et les fichiers batch pour exécution.

Pour l'exfiltration et le cryptage, PLAY segmente les données, utilise WinRAR et WinSCP, et emploie un cryptage hybride AES-RSA avec l'extension ".play".

En impactant les systèmes avec des tactiques de double extorsion, PLAY exige des rançons en crypto-monnaie et menace de faire fuir les données si elles ne sont pas payées.

PLAY obtient un accès en utilisant des comptes légitimes et exploite les vulnérabilités de FortiOS et de Microsoft Exchange.

PLAY escalade les privilèges à l'aide d'outils tels que Mimikatz et ajoute des utilisateurs aux groupes d'administrateurs.

PLAY échappe aux défenses en désactivant les programmes antivirus, en effaçant les journaux et en utilisant un cryptage intermittent.

PLAY utilise Mimikatz pour vider les informations d'identification, exécuté en tant que module de Cobalt Strike et Empirer.

PLAY effectue des recherches dans Active Directory à l'aide d'AdFind et de Bloodhound, ainsi que l'énumération de réseaux avec Grixba.

PLAY se propage latéralement à l'aide de Cobalt Strike et SystemBC, et exécute des fichiers par le biais d'objets de stratégie de groupe.


PLAY déploie Empire, System BC, Cobalt Strike, PsExec et les fichiers batch pour exécution.

Pour l'exfiltration et le cryptage, PLAY segmente les données, utilise WinRAR et WinSCP, et emploie un cryptage hybride AES-RSA avec l'extension ".play".

En impactant les systèmes avec des tactiques de double extorsion, PLAY exige des rançons en crypto-monnaie et menace de faire fuir les données si elles ne sont pas payées.
Les TTPs utilisées par les PLAY
Comment détecter PLAY avec Vectra AI
Liste des détections disponibles dans la plate-forme Vectra AI qui indiquent une attaque par ransomware.
Foire aux questions
Qu'est-ce que le groupe PLAY Ransomware ?
Le groupe PLAY Ransomware est une organisation cybercriminelle connue pour déployer des ransomwares qui chiffrent les fichiers des victimes et exigent le paiement d'une rançon en échange des clés de déchiffrement. Ils ciblent souvent les organisations dont les mesures de sécurité sont faibles.
Comment le ransomware PLAY infecte-t-il les systèmes ?
PLAY Les ransomwares infectent généralement les systèmes par le biais d'e-mails phishing , de kits d'exploitation et d'informations d'identification compromises, en exploitant les vulnérabilités pour obtenir un accès et déployer leur charge utile.
Quels sont les secteurs les plus menacés par les attaques de ransomware sur le site PLAY ?
Si le ransomware PLAY a ciblé un large éventail de secteurs, les infrastructures critiques, les soins de santé et les services financiers ont été particulièrement vulnérables en raison de la nature sensible de leurs données.
Quels sont les indicateurs de compromission (IoC) associés au ransomware PLAY ?
Les éléments de référence pour le ransomware PLAY comprennent un trafic réseau inhabituel, des modifications suspectes des clés de registre, des notes de rançon et des extensions de fichiers liées au ransomware malware.
Comment les équipes SOC peuvent-elles détecter et répondre aux ransomwares PLAY ?
Les équipes SOC doivent utiliser des solutions avancées de détection des menaces, analyser régulièrement le trafic réseau et mettre en œuvre des systèmes de détection et de réponse aux menaces. L'isolement immédiat des systèmes infectés et l'exécution d'un plan d'intervention sont essentiels.
Quelles sont les meilleures pratiques pour prévenir les infections par le ransomware PLAY ?
Les meilleures pratiques comprennent des mises à jour régulières des logiciels, une formation de sensibilisation des employés à la cybersécurité, un filtrage robuste des courriels et l'utilisation de l'authentification multifactorielle (AMF) pour se protéger contre phishing et la compromission des informations d'identification.
Les données cryptées par le ransomware PLAY peuvent-elles être décryptées sans payer la rançon ?
Bien que des outils de décryptage spécifiques au ransomware PLAY ne soient pas toujours disponibles, il est conseillé de consulter des experts en cybersécurité et d'explorer les outils de décryptage disponibles pour des variantes similaires de ransomware avant d'envisager le paiement d'une rançon.
Comment le groupe de ransomware PLAY fonctionne-t-il financièrement ?
Le groupe PLAY fonctionne sur le modèle de la rançon, exigeant des paiements souvent en crypto-monnaies. Il peut également se livrer à une double tactique d'extorsion, en menaçant de divulguer les données volées si la rançon n'est pas payée.
Que doit contenir un plan d'intervention en cas d'attaque par ransomware sur le site PLAY ?
Un plan d'intervention doit prévoir l'isolement immédiat des systèmes touchés, l'identification de la souche du ransomware, les protocoles de communication, les procédures de récupération des données à partir des sauvegardes et les considérations juridiques relatives au paiement des rançons.
Comment les organisations peuvent-elles collaborer avec les forces de l'ordre à la suite d'une attaque de ransomware sur le site PLAY ?
Les organisations doivent signaler l'incident aux autorités locales ou nationales chargées de la cybersécurité, en fournissant des informations détaillées sur l'attaque sans compromettre les opérations en cours ou les lois sur la confidentialité des données.