PLAY
Avec son récent passage à un modèle de Ransomware-as-a-Service (RaaS), PLAY - également connu sous le nom de PlayCrypt - cible désormais les fournisseurs de services gérés (MSP) dans le monde entier, et a touché plus de 300 entités.
Les origines de PLAY
Le groupe de ransomwares PLAY, soupçonné d'avoir des liens avec la Russie en raison de son utilisation de techniques de chiffrement caractéristiques des organisations de cybercriminalité affiliées à la Russie, a fait surface en 2022 avec une extension de fichier ".play" distinctive pour ses activités de chiffrement.
PLAY présente des similitudes avec Hive et Nokayawa. Un point commun notable est leur utilisation d'AdFind, un utilitaire de ligne de commande conçu pour collecter des données à partir d'Active Directory, ce qui souligne la similitude de leurs comportements opérationnels.
Source : Trend Micro et OCD
Cibles
Les cibles de PLAY
Pays ciblés par PLAY
Concentrant principalement ses cyber-attaques en Allemagne, le groupe a également étendu son champ d'action pour compromettre des cibles aux États-Unis, au Brésil, en Argentine, au Portugal, en Belgique et en Suisse.
Source : Trend Micro
Secteurs d'activité ciblés par PLAY
PLAYLes activités de l'entreprise tournent principalement autour des télécommunications et soins de santé mais elle n'a pas épargné les organisations des secteurs des médias/communications, des transports, de la construction et de l'administration publique. gouvernement des secteurs des médias et des communications, des transports, de la construction et des administrations publiques.
Source : Trend Micro
Secteurs d'activité ciblés par PLAY
PLAYLes activités de l'entreprise tournent principalement autour des télécommunications et soins de santé mais elle n'a pas épargné les organisations des secteurs des médias/communications, des transports, de la construction et de l'administration publique. gouvernement des secteurs des médias et des communications, des transports, de la construction et des administrations publiques.
Source : Trend Micro
Les victimes de PLAY
À ce jour, Play a attaqué plus de 436 entreprises.
Source : ransomware.live
Méthode d'attaque
Méthode d'attaque de PLAY
PLAY obtient un accès en utilisant des comptes légitimes et exploite les vulnérabilités de FortiOS et de Microsoft Exchange.
PLAY escalade les privilèges à l'aide d'outils tels que Mimikatz et ajoute des utilisateurs aux groupes d'administrateurs.
PLAY échappe aux défenses en désactivant les programmes antivirus, en effaçant les journaux et en utilisant un cryptage intermittent.
PLAY utilise Mimikatz pour vider les informations d'identification, exécuté en tant que module de Cobalt Strike et Empirer.
PLAY effectue des recherches dans Active Directory à l'aide d'AdFind et de Bloodhound, ainsi que l'énumération de réseaux avec Grixba.
PLAY se propage latéralement à l'aide de Cobalt Strike et SystemBC, et exécute des fichiers par le biais d'objets de stratégie de groupe.
PLAY déploie Empire, System BC, Cobalt Strike, PsExec et les fichiers batch pour exécution.
Pour l'exfiltration et le cryptage, PLAY segmente les données, utilise WinRAR et WinSCP, et emploie un cryptage hybride AES-RSA avec l'extension ".play".
En impactant les systèmes avec des tactiques de double extorsion, PLAY exige des rançons en crypto-monnaie et menace de faire fuir les données si elles ne sont pas payées.
Accès Initial
PLAY obtient un accès en utilisant des comptes légitimes et exploite les vulnérabilités de FortiOS et de Microsoft Exchange.
Élévation de privilèges
PLAY escalade les privilèges à l'aide d'outils tels que Mimikatz et ajoute des utilisateurs aux groupes d'administrateurs.
Défense Evasion
PLAY échappe aux défenses en désactivant les programmes antivirus, en effaçant les journaux et en utilisant un cryptage intermittent.
Accès aux identifiants
PLAY utilise Mimikatz pour vider les informations d'identification, exécuté en tant que module de Cobalt Strike et Empirer.
Découverte
PLAY effectue des recherches dans Active Directory à l'aide d'AdFind et de Bloodhound, ainsi que l'énumération de réseaux avec Grixba.
Mouvement latéral
PLAY se propage latéralement à l'aide de Cobalt Strike et SystemBC, et exécute des fichiers par le biais d'objets de stratégie de groupe.
Collection
Exécution
PLAY déploie Empire, System BC, Cobalt Strike, PsExec et les fichiers batch pour exécution.
Exfiltration
Pour l'exfiltration et le cryptage, PLAY segmente les données, utilise WinRAR et WinSCP, et emploie un cryptage hybride AES-RSA avec l'extension ".play".
Impact
En impactant les systèmes avec des tactiques de double extorsion, PLAY exige des rançons en crypto-monnaie et menace de faire fuir les données si elles ne sont pas payées.
MITRE ATT&CK Mapping
Les TTPs utilisées par les PLAY
PLAY s'attaque stratégiquement aux systèmes de backup pour laisser les victimes sans autres options de récupération des données, en employant des stratégies méticuleuses pour éliminer les capacités de sauvegarde.
TA0001: Initial Access
T1190
Exploit Public-Facing Application
T1133
External Remote Services
T1078
Valid Accounts
TA0002: Execution
No items found.
TA0003: Persistence
T1078
Valid Accounts
TA0004: Privilege Escalation
T1484
Group Policy Modification
T1078
Valid Accounts
TA0005: Defense Evasion
T1070
Indicator Removal
T1562
Impair Defenses
T1484
Group Policy Modification
T1078
Valid Accounts
TA0006: Credential Access
T1552
Unsecured Credentials
T1003
OS Credential Dumping
TA0007: Discovery
T1518
Software Discovery
T1016
System Network Configuration Discovery
TA0008: Lateral Movement
T1570
Lateral Tool Transfer
TA0009: Collection
T1560
Archive Collected Data
TA0011: Command and Control
No items found.
TA0010: Exfiltration
T1048
Exfiltration Over Alternative Protocol
TA0040: Impact
T1657
Financial Theft
T1486
Data Encrypted for Impact
Détections de la plate-forme
Comment détecter PLAY avec Vectra AI
Liste des détections disponibles dans la plate-forme Vectra AI qui indiquent une attaque par ransomware.
Foire aux questions
Qu'est-ce que le groupe PLAY Ransomware ?
Le groupe PLAY Ransomware est une organisation cybercriminelle connue pour déployer des ransomwares qui chiffrent les fichiers des victimes et exigent le paiement d'une rançon en échange des clés de déchiffrement. Ils ciblent souvent les organisations dont les mesures de sécurité sont faibles.
Comment le ransomware PLAY infecte-t-il les systèmes ?
PLAY Les ransomwares infectent généralement les systèmes par le biais d'e-mails phishing , de kits d'exploitation et d'informations d'identification compromises, en exploitant les vulnérabilités pour obtenir un accès et déployer leur charge utile.
Quels sont les secteurs les plus menacés par les attaques de ransomware sur le site PLAY ?
Si le ransomware PLAY a ciblé un large éventail de secteurs, les infrastructures critiques, les soins de santé et les services financiers ont été particulièrement vulnérables en raison de la nature sensible de leurs données.
Quels sont les indicateurs de compromission (IoC) associés au ransomware PLAY ?
Les éléments de référence pour le ransomware PLAY comprennent un trafic réseau inhabituel, des modifications suspectes des clés de registre, des notes de rançon et des extensions de fichiers liées au ransomware malware.
Comment les équipes SOC peuvent-elles détecter et répondre aux ransomwares PLAY ?
Les équipes SOC doivent utiliser des solutions avancées de détection des menaces, analyser régulièrement le trafic réseau et mettre en œuvre des systèmes de détection et de réponse aux menaces. L'isolement immédiat des systèmes infectés et l'exécution d'un plan d'intervention sont essentiels.
Quelles sont les meilleures pratiques pour prévenir les infections par le ransomware PLAY ?
Les meilleures pratiques comprennent des mises à jour régulières des logiciels, une formation de sensibilisation des employés à la cybersécurité, un filtrage robuste des courriels et l'utilisation de l'authentification multifactorielle (AMF) pour se protéger contre phishing et la compromission des informations d'identification.
Les données cryptées par le ransomware PLAY peuvent-elles être décryptées sans payer la rançon ?
Bien que des outils de décryptage spécifiques au ransomware PLAY ne soient pas toujours disponibles, il est conseillé de consulter des experts en cybersécurité et d'explorer les outils de décryptage disponibles pour des variantes similaires de ransomware avant d'envisager le paiement d'une rançon.
Comment le groupe de ransomware PLAY fonctionne-t-il financièrement ?
Le groupe PLAY fonctionne sur le modèle de la rançon, exigeant des paiements souvent en crypto-monnaies. Il peut également se livrer à une double tactique d'extorsion, en menaçant de divulguer les données volées si la rançon n'est pas payée.
Que doit contenir un plan d'intervention en cas d'attaque par ransomware sur le site PLAY ?
Un plan d'intervention doit prévoir l'isolement immédiat des systèmes touchés, l'identification de la souche du ransomware, les protocoles de communication, les procédures de récupération des données à partir des sauvegardes et les considérations juridiques relatives au paiement des rançons.
Comment les organisations peuvent-elles collaborer avec les forces de l'ordre à la suite d'une attaque de ransomware sur le site PLAY ?
Les organisations doivent signaler l'incident aux autorités locales ou nationales chargées de la cybersécurité, en fournissant des informations détaillées sur l'attaque sans compromettre les opérations en cours ou les lois sur la confidentialité des données.