Play Ransomware Group – Detection and Protection

Play Ransomware, auch bekannt als Play oder Playcrypt, ist eine Gruppe von Cyberkriminellen, die erfolgreich über 300 Organisationen auf der ganzen Welt infiltriert haben. Ihre Ransomware-Angriffe verwenden einzigartige Taktiken wie intermittierende Verschlüsselung und doppelte Erpressung, um Unternehmensdaten zu exfiltrieren und Unternehmen zu bedrohen.

Anti-Ransomware Mehr erfahren

Was ist die Play Ransomware Group?

Seit ihrem ersten Auftreten im Jahr 2022 war die Play Ransomware Group für mehrere große Sicherheitsverletzungen verantwortlich, darunter:

  • Microsoft Kuba
  • Die Stadt Oakland
  • Die Schweizer Regierung
  • Grafschaft Dallas

In der Regel installiert Play Ransomware auf den Systemen eines Unternehmens, verschlüsselt deren Daten und verlangt eine Lösegeldzahlung oder exfiltriert Geschäftsdaten und verkauft sie im Darknet-Forum. Einige ihrer Angriffe hatten internationale Auswirkungen und betrafen Hunderttausende von Kunden auf einmal.

Die Ransomware-Gruppe Play hat einen Online-Tor-Blog, in dem sie Details zu jedem ihrer Angriffe veröffentlicht, einschließlich Zusammenfassungen der Daten, die sie bei jedem Angriff erfassen konnten.

Einzigartige Methoden, die von der Play Ransomware-Gruppe verwendet werden

Play nutzt die FortiOS-Schwachstelle CVE-2020-12812 und CVE-2018-13379 zusammen mit exponierten RDP-Servern, um Organisationen zu verletzen. Sobald sie auf ein System zugreifen, verteilen sie Ransomware-Payloads mithilfe von Gruppenrichtlinienobjekten über das System. Indem sie diese als geplante Aufgaben ausführen, können sie systematisch mit der Verschlüsselung von Dateien in einem Netzwerk beginnen und schnell die Kontrolle übernehmen.

Eines der bestimmenden Merkmale dieser Ransomware-Bande ist die Verwendung von intermittierender Verschlüsselung. Bei herkömmlicher Ransomware verschlüsseln die Payloads die Gesamtheit der Dateien und verhindern, dass Netzwerk-Administratoren darauf zugreifen können. Die schnelle Verschlüsselung vieler Dateien ist jedoch ein Bedrohungsvektor, den viele Sicherheitssysteme erkennen und kennzeichnen.

Um diese Verteidigung zu umgehen, werden durch die Verwendung der intermittierenden Verschlüsselung in Play nur ausgewählte Teile jeder Datei verschlüsselt.

Dieser Ansatz ermöglicht es ihnen, unter dem Radar zu fliegen und die meisten Endgerätesicherheitslösungen zu umgehen, während sie weiterhin Kernbytes in Dateien verschlüsseln, die dem Bedrohungsakteur einen ersten Zugriff ermöglichen, während das Unternehmen selbst blockiert wird.

Play nutzt auch den Ruf eines Unternehmens, um es zur Einhaltung von Vorschriften zu drängen. Laut CSA bietet Play jedem Unternehmen, das seine Ransomware-Gebühr zahlt, vollständige Geheimhaltung, wobei diejenigen, die nicht sofort zahlen, alle ihre Daten online veröffentlichen und Details des Exploits in ihrem Tor-Blog veröffentlichen lassen.

Bemerkenswerte Angriffe der Play Ransomware Group

Play hat internationale Ransomware-Kampagnen gestartet, von denen viele hochrangige Institutionen gestört haben, darunter große Unternehmen, Regierungen und sogar große Stadträte.

Hier sind einige der bemerkenswertesten Angriffe der letzten Jahre:

  • Bezirk Dallas: Die Ransomware-Gruppe Play startete einen Angriff auf die privaten Aufzeichnungen von Dallas County. Bei der Sicherheitsverletzung wurden die Daten von über 200.000 Personen gestohlen, darunter SSNs, staatliche Identifikationsnummern, Steuerzahlerinformationen, medizinische Informationen und sogar Krankenversicherungsdaten.
  • Schweizer Regierung: Play startete im Mai 2023 einen Angriff auf die Schweizer Regierung und verletzte über 1,3 Millionen vertrauliche Datensätze von ihren privaten Servern. Davon standen 65'000 in direktem Zusammenhang mit der Bundesverwaltung, was ein grosses Sicherheitsrisiko für das Land darstellte.
  • Arnold Clark: Arnold Clark ist der größte unabhängige Autohändler in Europa und ein weiteres hochkarätiges Ziel von Play. Play stahl ID-Informationen, Bankdaten und vollständige Fahrzeugregistrierungsunterlagen von Kunden, woraufhin das Unternehmen Verhandlungen mit Play aufnahm.
  • Justiz von Córdoba: Ende 2022 kam es in den Justizsystemen der Stadt Córdoba zu einem Cyberangriff, der von Play orchestriert wurde. Die typische .play-Datei Die Verschlüsselung erfolgte auf ihren gesamten Systemen, wobei die Ransomware-Gruppe eine einfache ReadMe.txt hinterließ, auf der "Play" und eine E-Mail-Adresse aufgeführt waren, an die sie sich wenden konnte, um das Lösegeld zu besprechen.

Die überwiegende Mehrheit der Geschichten, die mit dem Spielen zu tun haben, erregen große Aufmerksamkeit in den Medien und verschwinden dann schnell aus dem Blickfeld der Öffentlichkeit. Es scheint, dass korrupte Organisationen ohne klare Abwehrsysteme und Optionen zur Wiederherstellung ihrer Daten möglicherweise mit der Play Ransomware-Gruppe ins Gespräch kommen müssen.

Auch wenn Play im Jahr 2024 weniger aktiv war als in den Vorjahren, stellt es immer noch eine große Bedrohung für ungesicherte Unternehmen dar.

Prävention und Abwehr von Ransomware-Angriffen

Hier sind einige der führenden Strategien, um sich vor Ransomware-Angriffen zu schützen:

  • Verwenden Sie Zugriffssteuerungen: Indem Sie Ihr Netzwerk segmentieren und ein Berechtigungssystem erstellen, beschränken Sie den Gesamtzugriff, den kompromittierte Konten auf Ihr System haben. In einem nicht segmentierten Netzwerk kann ein kompromittiertes Konto die vollständige Beschädigung Ihres Remote-Systems signalisieren. Die Segmentierung der Zugriffskontrolle verhindert dies und verringert die Wahrscheinlichkeit einer vollständigen Sperrung.
  • Deploy Endgerät Protection: Eine Ransomware-Bedrohung zu erkennen und so schnell wie möglich zu neutralisieren, ist entscheidend, um Ihr Unternehmen effektiv vor diesem Angriffsvektor zu schützen. Endgerät-Schutzlösungen helfen dabei, einen Ransomware-Angriff schnell zu lokalisieren und abzuwehren.
  • Aktualisieren Sie Ihre Systeme: Wenn Sie Ihre Systeme regelmäßig aktualisieren und auf die neueste Version der Software patchen, können Sie die Wahrscheinlichkeit verringern, dass Ihr Unternehmen eine bekannte Schwachstelle in seinem System hat. Für Software werden regelmäßig Patches veröffentlicht, um Schwachstellen zu entfernen.
  • Implementieren Sie Notfallpläne: Die Erstellung effektiver Notfallpläne für das, was Ihr Unternehmen in einem Ransomware-Szenario tun wird, ist ein nützlicher Weg, um einen umfassenden Plan zur Reaktion auf Bedrohungen zu entwickeln. Zum Beispiel könnte Ihr Unternehmen genau festlegen, welche Backups es entwickeln sollte, und einen Weg zur Segmentierung Ihrer Systeme aufzeigen, sobald die ersten Anzeichen eines Angriffs auftreten.

Ransomware-Schutz mit Check Point

Play und andere große Ransomware-Gruppen werden immer häufiger, wobei das schiere Ausmaß der Angriffsflächen moderner Unternehmen Unternehmen anfälliger denn je macht. Angesichts der zunehmenden Cyberbedrohung müssen sich Unternehmen effektiven Cybersicherheitslösungen zuwenden, um ihre Unternehmen so sicher wie möglich zu halten.

Check Point Anti-Ransomware -Software bildet ein Kernsegment der vollständigen Endgerätesicherheitslösung. Mit einem umfassenden Schutzniveau für jedes Unternehmen Endgerät ermöglicht Check Point Ihrem Unternehmen, die Cybersicherheit zu automatisieren und die Abwehr auf breiter Front zu verbessern.

Mit dieser Lösung ist Ihr Unternehmen in der Lage, das Risiko eines erfolgreichen Ransomware-Angriffs zu verringern und sich gleichzeitig vor zahlreichen anderen führenden Cybersicherheitsbedrohungen zu schützen. Wenden Sie sich noch heute an Check Point, um eine Demo zu buchen.

Loslegen

Harmony Endpoint

Der CISO-Leitfaden zur Ransomware-Prävention

Check PointCybersicherheitsbericht 2024

Schutz vor Ransomware

Verwandte Themen

8Base Ransomware Group

Ransomware-Wiederherstellung

Locker-Ransomware

Dreifache Erpressung Ransomware

Akira Ransomware

×
  Feedback
Diese Website verwendet Cookies für ihre Funktionalität sowie für Analyse- und Marketingzwecke. Mit der weiteren Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen finden Sie in unserem Cookies Hinweis.
OK