El ransomware Play, también conocido como Play o Playcrypt, es un grupo de ciberdelincuentes que se infiltraron con éxito en más de 300 organizaciones de todo el mundo. Sus ataques de ransomware emplean tácticas únicas como el cifrado intermitente y la doble extorsión para exfiltrar datos de la compañía y amenazar a las compañías.
Desde su primera aparición en 2022, Play ransomware Group fue responsable de varias violaciones importantes, entre ellas:
Por lo general, Play instala ransomware en los sistemas de una compañía, encriptando sus datos y exigiendo el pago de un rescate o exfiltrando datos comerciales y vendiéndolos en el foro de la web oscura. Algunos de sus ataques tuvieron repercusiones internacionales, afectando a cientos de miles de clientes a la vez.
El grupo de ransomware Play tiene un blog en línea Tor donde publican detalles de cada uno de sus ataques, incluidos resúmenes de los datos que lograron capturar durante cada ataque.
Play emplea las vulnerabilidades CVE-2020-12812 y CVE-2018-13379 de FortiOS, junto con los servidores RDP expuestos, para infringir las organizaciones. Una vez que acceden a un sistema, distribuirán las cargas útiles de ransomware por todo el sistema mediante el uso de objetos de directiva de grupo. Al ejecutarlas como tareas programadas, pueden comenzar sistemáticamente el cifrado de archivos a través de una red, asumiendo rápidamente el control.
Una de las características definitorias de esta banda de ransomware es el uso de cifrado intermitente. En el ransomware tradicional, las cargas cifran la totalidad de los archivos, evitando que los administradores de red accedan a ellos. Sin embargo, el cifrado rápido de muchos archivos es un vector de amenaza que muchos sistemas de seguridad reconocerán y señalarán.
Para superar esta defensa, el uso del cifrado intermitente de Play solo cifrará partes selectivas de cada archivo.
Este enfoque les permite volar bajo el radar y evitar la mayoría de las soluciones de seguridad de terminales mientras cifran los bytes principales de los archivos que dan acceso inicial al actor de amenazas mientras bloquean a la propia compañía.
Play también aprovecha la reputación de una compañía para presionarla para que cumpla. Según la CSA, Play ofrece un secreto total a cualquier compañía que pague su tarifa de ransomware, y aquellas que no pagan al instante tienen todos sus datos publicados en línea y los detalles del exploit publicados en su blog Tor.
Play lanzó campañas internacionales de ransomware, muchas de las cuales afectaron a instituciones de alto rango, incluidas grandes compañías, gobiernos e incluso grandes ayuntamientos.
Estos son algunos de los ataques más notables de los últimos años:
La gran mayoría de las historias relacionadas con Play atraen una gran atención de los medios de comunicación y luego desaparecen rápidamente del ojo público. Parece que sin sistemas de defensa claros y opciones para recuperar sus datos, es posible que las organizaciones corruptas tengan que entablar una conversación con el grupo de ransomware Play.
Aunque Play estuvo menos activo en 2024 que en años anteriores, sigue representando una gran amenaza para las organizaciones no seguras.
Estas son algunas de las principales estrategias para proteger de los ataques de ransomware:
Play y otros grupos importantes de ransomware son cada vez más comunes, y el gran alcance de las superficies de ataque empresariales modernas hace que las compañías sean más vulnerables que nunca. Ante la creciente amenaza cibernética, las compañías deben recurrir a soluciones de ciberseguridad efectivas para mantener sus negocios lo más seguros posible.
Check Pointsoftware anti-ransomware constituye un segmento central de la solución completa de seguridad de terminales. Con un nivel integral de protección en todos los terminales de la compañía, Check Point permite a su compañía automatizar la ciberseguridad y mejorar las defensas en todos los ámbitos.
Con esta solución, su compañía podrá reducir el riesgo de un ataque de ransomware exitoso mientras se protege de muchas otras amenazas de ciberseguridad líderes. Póngase en contacto con Check Point para reservar una demostración hoy mismo.