Play Ransomware Group – Detection and Protection

Il ransomware Play, noto anche come Play o Playcrypt, è un gruppo di criminali informatici che si è infiltrato con successo in oltre 300 organizzazioni in tutto il mondo. I loro attacchi ransomware utilizzano tattiche uniche come la crittografia intermittente e la doppia estorsione per esfiltrare i dati aziendali e minacciare le aziende.

Anti-ransomware Per saperne di più

Che cos'è il gruppo ransomware Play?

Dalla sua prima apparizione nel 2022, Play ransomware Group è stato responsabile di diverse importanti violazioni, tra cui:

  • Microsoft Cuba
  • La città di Oakland
  • Il governo svizzero
  • Contea di Dallas

In genere, Play installa ransomware sui sistemi di un'azienda, crittografando i suoi dati e richiedendo il pagamento di un riscatto o esfiltrando i dati aziendali e vendendoli sul forum del dark web. Alcuni dei loro attacchi hanno avuto ripercussioni internazionali, colpendo centinaia di migliaia di clienti contemporaneamente.

Il gruppo ransomware Play ha un blog Tor online in cui pubblica i dettagli di ciascuno dei suoi attacchi, inclusi i riassunti dei dati che sono riusciti a catturare durante ogni attacco.

Metodi unici utilizzati dal gruppo ransomware Play

Play utilizza le vulnerabilità di FortiOS CVE-2020-12812 e CVE-2018-13379, insieme ai server RDP esposti, per violare le organizzazioni. Una volta effettuato l'accesso a un sistema, distribuirà i payload del ransomware nel sistema utilizzando gli oggetti Criteri di gruppo. Eseguendo queste attività come attività pianificate, possono iniziare sistematicamente la crittografia dei file in una rete, prendendo rapidamente il sopravvento.

Una delle caratteristiche distintive di questa banda di ransomware è l'uso della crittografia intermittente. Nel ransomware tradizionale, i payload crittograferanno la totalità dei file, impedendo agli amministratori di rete di accedervi. Tuttavia, la crittografia rapida di molti file è un vettore di minaccia che molti sistemi di sicurezza riconosceranno e segnaleranno.

Per superare questa difesa, l'uso della crittografia intermittente da parte di Play crittograferà solo parti selezionate di ciascun file.

Questo approccio consente loro di passare inosservati ed evitare la maggior parte delle soluzioni di sicurezza degli endpoint , pur crittografando i byte principali nei file che forniscono all'autore della minaccia l'accesso iniziale, bloccando al contempo l'azienda stessa.

Il gioco sfrutta anche la reputazione di un'azienda per spingerla a conformarsi. Secondo il CSA, Play offre la massima segretezza a qualsiasi azienda che paga la propria quota ransomware, mentre quelle che non pagano immediatamente hanno tutti i loro dati pubblicati online e i dettagli dell'exploit pubblicati sul loro blog Tor.

Attacchi degni di nota da parte del gruppo ransomware Play

Play ha lanciato campagne internazionali di ransomware, molte delle quali hanno interrotto istituzioni di alto livello, tra cui grandi imprese, governi e persino importanti consigli comunali.

Ecco alcuni degli attacchi più importanti degli ultimi anni:

  • Contea di Dallas: Il gruppo ransomware Play ha lanciato un attacco ai registri privati della contea di Dallas. Oltre 200.000 persone hanno subito il furto dei loro dati, inclusi SSN, numeri di identificazione statali, informazioni sui contribuenti, informazioni mediche e persino dettagli sull'assicurazione sanitaria.
  • Governo svizzero: Play ha lanciato un attacco al governo svizzero nel maggio 2023, violando oltre 1,3 milioni di record riservati dai suoi server privati. Di queste, 65.000 erano direttamente collegate all'amministrazione federale, creando un grave rischio per la sicurezza del paese.
  • Arnold Clark: Arnold Clark è il più grande rivenditore di auto indipendente in Europa e un altro dei target di alto profilo di Play. Play ha rubato ai clienti informazioni sull'identificazione, i dettagli bancari e i registri completi di immatricolazione del veicolo, con l'azienda che ha avviato trattative con Play.
  • Magistratura di Cordoba: Alla fine del 2022, i sistemi giudiziari della città di Cordoba hanno subito un attacco informatico orchestrato da Play. Il tipico .play La crittografia era su tutti i loro sistemi, con il gruppo ransomware che lasciava un semplice ReadMe.txt che elencava "Riproduci" e un indirizzo e-mail da contattare per discutere il riscatto.

La stragrande maggioranza delle storie relative a Play ottiene una forte attenzione da parte dei media e poi scompare rapidamente dagli occhi del pubblico. Sembra che senza chiari sistemi di difesa in atto e opzioni per recuperare i propri dati, le organizzazioni danneggiate potrebbero dover entrare in conversazione con il gruppo ransomware Play.

Sebbene il gioco sia stato meno attivo nel 2024 rispetto agli anni precedenti, rappresenta ancora una grave minaccia per le organizzazioni non protette.

Prevenzione e mitigazione degli attacchi ransomware

Ecco alcune delle principali strategie per proteggersi dagli attacchi ransomware:

  • Usa i controlli di accesso: Segmentando la tua rete e creando un sistema di autorizzazioni, limiti l'accesso totale che gli account compromessi avranno al tuo sistema. In rete non segmentata, un account compromesso potrebbe segnalare la completa corruzione del sistema remoto. La segmentazione del controllo degli accessi impedisce che ciò accada e riduce la probabilità di un blocco completo.
  • Distribuire la protezione degli endpoint: Rilevare una minaccia ransomware e neutralizzarla il più rapidamente possibile è fondamentale per difendere efficacemente la tua azienda da questo vettore di attacco. Le soluzioni di protezione degli endpoint aiuteranno a individuare e mitigare rapidamente un attacco ransomware.
  • Aggiorna i tuoi sistemi: L'aggiornamento regolare dei sistemi e l'applicazione di patch all'ultima versione del software contribuiranno a ridurre la probabilità che la tua azienda abbia una vulnerabilità nota nel suo sistema. Vengono rilasciate regolarmente patch per il software per rimuovere le vulnerabilità.
  • Implementare i piani di emergenza: La creazione di piani di emergenza efficaci per ciò che la tua azienda farà in uno scenario ransomware è un modo utile per sviluppare un piano di risposta alle minacce completo. Ad esempio, la tua azienda potrebbe individuare quali backup sviluppare e delineare un percorso per segmentare i tuoi sistemi ai primi indizi di un attacco.

Protezione contro i ransomware con Check Point

Play e altri importanti gruppi di ransomware stanno diventando molto più comuni, con l'enorme portata delle moderne superfici di attacco aziendali che rendono le aziende più vulnerabili che mai. Di fronte alla crescente minaccia informatica, le aziende devono rivolgersi a soluzioni di sicurezza informatica efficaci per mantenere le loro attività il più sicure possibile.

Check Pointsoftware anti-ransomware costituisce un segmento centrale della soluzione completa di Endpoint Security. Con un livello completo di protezione su ogni endpoint aziendale, Check Point consente alla tua azienda di automatizzare la sicurezza informatica e migliorare le difese su tutta la linea.

Con questa soluzione, la tua azienda sarà in grado di ridurre il rischio di un attacco ransomware riuscito, proteggendosi al contempo da numerose altre minacce alla sicurezza informatica leader. Contatta Check Point per prenotare una demo oggi stesso.

Per iniziare

Harmony Endpoint

La guida del CISO alla prevenzione del ransomware

RapportoCheck Point2024 di Cyber Security

Protezione ransomware

Argomenti correlati

8Base Ransomware Group

ransomware Recupero

ransomwarearmadietti

ransomwarea tripla estorsione

Akira Ransomware

×
  Feedback
Questo sito web utilizza cookies per la sua funzionalità e per scopi di analisi e marketing. Continuando a utilizzare questo sito Web, accetti l'utilizzo dei cookies. Per ulteriori informazioni, leggere la nostra Informativa sui cookie.
OK