Il ransomware Play, noto anche come Play o Playcrypt, è un gruppo di criminali informatici che si è infiltrato con successo in oltre 300 organizzazioni in tutto il mondo. I loro attacchi ransomware utilizzano tattiche uniche come la crittografia intermittente e la doppia estorsione per esfiltrare i dati aziendali e minacciare le aziende.
Dalla sua prima apparizione nel 2022, Play ransomware Group è stato responsabile di diverse importanti violazioni, tra cui:
In genere, Play installa ransomware sui sistemi di un'azienda, crittografando i suoi dati e richiedendo il pagamento di un riscatto o esfiltrando i dati aziendali e vendendoli sul forum del dark web. Alcuni dei loro attacchi hanno avuto ripercussioni internazionali, colpendo centinaia di migliaia di clienti contemporaneamente.
Il gruppo ransomware Play ha un blog Tor online in cui pubblica i dettagli di ciascuno dei suoi attacchi, inclusi i riassunti dei dati che sono riusciti a catturare durante ogni attacco.
Play utilizza le vulnerabilità di FortiOS CVE-2020-12812 e CVE-2018-13379, insieme ai server RDP esposti, per violare le organizzazioni. Una volta effettuato l'accesso a un sistema, distribuirà i payload del ransomware nel sistema utilizzando gli oggetti Criteri di gruppo. Eseguendo queste attività come attività pianificate, possono iniziare sistematicamente la crittografia dei file in una rete, prendendo rapidamente il sopravvento.
Una delle caratteristiche distintive di questa banda di ransomware è l'uso della crittografia intermittente. Nel ransomware tradizionale, i payload crittograferanno la totalità dei file, impedendo agli amministratori di rete di accedervi. Tuttavia, la crittografia rapida di molti file è un vettore di minaccia che molti sistemi di sicurezza riconosceranno e segnaleranno.
Per superare questa difesa, l'uso della crittografia intermittente da parte di Play crittograferà solo parti selezionate di ciascun file.
Questo approccio consente loro di passare inosservati ed evitare la maggior parte delle soluzioni di sicurezza degli endpoint , pur crittografando i byte principali nei file che forniscono all'autore della minaccia l'accesso iniziale, bloccando al contempo l'azienda stessa.
Il gioco sfrutta anche la reputazione di un'azienda per spingerla a conformarsi. Secondo il CSA, Play offre la massima segretezza a qualsiasi azienda che paga la propria quota ransomware, mentre quelle che non pagano immediatamente hanno tutti i loro dati pubblicati online e i dettagli dell'exploit pubblicati sul loro blog Tor.
Play ha lanciato campagne internazionali di ransomware, molte delle quali hanno interrotto istituzioni di alto livello, tra cui grandi imprese, governi e persino importanti consigli comunali.
Ecco alcuni degli attacchi più importanti degli ultimi anni:
La stragrande maggioranza delle storie relative a Play ottiene una forte attenzione da parte dei media e poi scompare rapidamente dagli occhi del pubblico. Sembra che senza chiari sistemi di difesa in atto e opzioni per recuperare i propri dati, le organizzazioni danneggiate potrebbero dover entrare in conversazione con il gruppo ransomware Play.
Sebbene il gioco sia stato meno attivo nel 2024 rispetto agli anni precedenti, rappresenta ancora una grave minaccia per le organizzazioni non protette.
Ecco alcune delle principali strategie per proteggersi dagli attacchi ransomware:
Play e altri importanti gruppi di ransomware stanno diventando molto più comuni, con l'enorme portata delle moderne superfici di attacco aziendali che rendono le aziende più vulnerabili che mai. Di fronte alla crescente minaccia informatica, le aziende devono rivolgersi a soluzioni di sicurezza informatica efficaci per mantenere le loro attività il più sicure possibile.
Check Pointsoftware anti-ransomware costituisce un segmento centrale della soluzione completa di Endpoint Security. Con un livello completo di protezione su ogni endpoint aziendale, Check Point consente alla tua azienda di automatizzare la sicurezza informatica e migliorare le difese su tutta la linea.
Con questa soluzione, la tua azienda sarà in grado di ridurre il rischio di un attacco ransomware riuscito, proteggendosi al contempo da numerose altre minacce alla sicurezza informatica leader. Contatta Check Point per prenotare una demo oggi stesso.