Play Ransomware Group – Detection and Protection

El ransomware Play, también conocido como Play o Playcrypt, es un grupo de ciberdelincuentes que se infiltraron con éxito en más de 300 organizaciones de todo el mundo. Sus ataques de ransomware emplean tácticas únicas como el cifrado intermitente y la doble extorsión para exfiltrar datos de la compañía y amenazar a las compañías.

Anti ransomware Más información

¿Qué es el grupo de ransomware Play?

Desde su primera aparición en 2022, Play ransomware Group fue responsable de varias violaciones importantes, entre ellas:

  • Microsoft Cuba
  • La ciudad de Oakland
  • El gobierno suizo
  • Condado de Dallas

Por lo general, Play instala ransomware en los sistemas de una compañía, encriptando sus datos y exigiendo el pago de un rescate o exfiltrando datos comerciales y vendiéndolos en el foro de la web oscura. Algunos de sus ataques tuvieron repercusiones internacionales, afectando a cientos de miles de clientes a la vez.

El grupo de ransomware Play tiene un blog en línea Tor donde publican detalles de cada uno de sus ataques, incluidos resúmenes de los datos que lograron capturar durante cada ataque.

Métodos únicos empleados por el grupo de ransomware Play

Play emplea las vulnerabilidades CVE-2020-12812 y CVE-2018-13379 de FortiOS, junto con los servidores RDP expuestos, para infringir las organizaciones. Una vez que acceden a un sistema, distribuirán las cargas útiles de ransomware por todo el sistema mediante el uso de objetos de directiva de grupo. Al ejecutarlas como tareas programadas, pueden comenzar sistemáticamente el cifrado de archivos a través de una red, asumiendo rápidamente el control.

Una de las características definitorias de esta banda de ransomware es el uso de cifrado intermitente. En el ransomware tradicional, las cargas cifran la totalidad de los archivos, evitando que los administradores de red accedan a ellos. Sin embargo, el cifrado rápido de muchos archivos es un vector de amenaza que muchos sistemas de seguridad reconocerán y señalarán.

Para superar esta defensa, el uso del cifrado intermitente de Play solo cifrará partes selectivas de cada archivo.

Este enfoque les permite volar bajo el radar y evitar la mayoría de las soluciones de seguridad de terminales mientras cifran los bytes principales de los archivos que dan acceso inicial al actor de amenazas mientras bloquean a la propia compañía.

Play también aprovecha la reputación de una compañía para presionarla para que cumpla. Según la CSA, Play ofrece un secreto total a cualquier compañía que pague su tarifa de ransomware, y aquellas que no pagan al instante tienen todos sus datos publicados en línea y los detalles del exploit publicados en su blog Tor.

Ataques notables del grupo de ransomware Play

Play lanzó campañas internacionales de ransomware, muchas de las cuales afectaron a instituciones de alto rango, incluidas grandes compañías, gobiernos e incluso grandes ayuntamientos.

Estos son algunos de los ataques más notables de los últimos años:

  • Condado de Dallas: El grupo de ransomware Play lanzó un ataque contra los registros privados del condado de Dallas. Más de 200,000 personas sufrieron el robo de sus registros en la violación, incluidos los números de seguro social, los números de identificación estatal, la información del contribuyente, la información médica e incluso los detalles del seguro médico.
  • Gobierno suizo: Play lanzó un ataque contra el gobierno suizo en mayo de 2023, violando más de 1,3 millones de registros confidenciales de sus servidores privados. De estos, 65.000 estaban directamente relacionados con la administración federal, lo que creaba un importante riesgo de seguridad para el país.
  • Arnold Clark: Arnold Clark es el minorista de automóvil independiente más grande de Europa y otro de los objetivos de alto perfil de Play. Play robó información de identificación, datos bancarios y registros completos de registro de vehículos de los clientes, y la compañía entabló negociaciones con Play.
  • Poder Judicial de Córdoba: A fines de 2022, el Sistema Judicial de la ciudad de Córdoba sufrió un ciberataque orquestado por Play. El típico .play El cifrado se realizó en todos sus sistemas, y el grupo de ransomware dejó una ReadMe.txt simple que incluía "Reproducir" y una dirección de email para contactar para discutir el rescate.

La gran mayoría de las historias relacionadas con Play atraen una gran atención de los medios de comunicación y luego desaparecen rápidamente del ojo público. Parece que sin sistemas de defensa claros y opciones para recuperar sus datos, es posible que las organizaciones corruptas tengan que entablar una conversación con el grupo de ransomware Play.

Aunque Play estuvo menos activo en 2024 que en años anteriores, sigue representando una gran amenaza para las organizaciones no seguras.

Prevención y mitigación de ataques de ransomware

Estas son algunas de las principales estrategias para proteger de los ataques de ransomware:

  • Emplee los controles de acceso: Al segmentar su red y crear un sistema de licencias, limita el acceso total que las cuentas comprometidas tendrán a su sistema. En rojo sin segmentar, una cuenta comprometida podría indicar la corrupción completa de su sistema remoto. La segmentación del control de acceso evita que esto suceda y reduce la probabilidad de un bloqueo completo.
  • Implementación de la protección del terminal: Detectar una amenaza de ransomware y neutralizarla lo más rápido posible es vital para defender eficazmente a su compañía de este vector de ataque. Las soluciones de protección de terminales ayudarán a localizar y mitigar rápidamente un ataque ransomware .
  • Actualice sus sistemas: La actualización periódica de sus sistemas y la aplicación de parches a la última versión del software ayudarán a reducir la probabilidad de que su compañía tenga una vulnerabilidad conocida en su sistema. De Manera Regular se publican parches para que el software elimine la vulnerabilidad.
  • Implementar planes de contingencia: La elaboración de planes de contingencia eficaces para lo que su compañía hará en un escenario de ransomware es una forma útil de desarrollar un plan integral de respuesta a las amenazas. Por ejemplo, su compañía podría identificar qué copias de seguridad debería desarrollar y trazar una ruta para segmentar sus sistemas ante los primeros indicios de que se está produciendo un ataque.

Protección contra ransomware con Check Point

Play y otros grupos importantes de ransomware son cada vez más comunes, y el gran alcance de las superficies de ataque empresariales modernas hace que las compañías sean más vulnerables que nunca. Ante la creciente amenaza cibernética, las compañías deben recurrir a soluciones de ciberseguridad efectivas para mantener sus negocios lo más seguros posible.

Check Pointsoftware anti-ransomware constituye un segmento central de la solución completa de seguridad de terminales. Con un nivel integral de protección en todos los terminales de la compañía, Check Point permite a su compañía automatizar la ciberseguridad y mejorar las defensas en todos los ámbitos.

Con esta solución, su compañía podrá reducir el riesgo de un ataque de ransomware exitoso mientras se protege de muchas otras amenazas de ciberseguridad líderes. Póngase en contacto con Check Point para reservar una demostración hoy mismo.

Comenzar

Harmony Endpoint

Guía del CISO para la prevención del ransomware

Informe sobre ciberseguridad 2024 de Check Point

Protección contra ransomware

Temas relacionados

8Base Ransomware Group

Recuperación de ransomware

El ransomware Locker

El ransomware de triple extorsión

Akira Ransomware

x
  Comentarios
This website uses cookies for its functionality and for analytics and marketing purposes. By continuing to use this website, you agree to the use of cookies. For more information, please read our Cookies Notice.
Aceptar