Play Ransomware Group – Detection and Protection

O ransomware Play, também conhecido como Play ou Playcrypt, é um grupo de criminosos cibernéticos que se infiltrou com sucesso em mais de 300 organizações em todo o mundo. Seus ataques de ransomware usam táticas exclusivas, como criptografia intermitente e extorsão dupla, para exfiltrar os dados da empresa e ameaçar os negócios.

Anti ransomware Saiba mais

O que é o Play ransomware Group?

Desde sua primeira aparição em 2022, o Play ransomware Group tem sido responsável por várias violações importantes, incluindo na:

  • Microsoft Cuba
  • A cidade de Oakland
  • O governo suíço
  • Condado de Dallas

Normalmente, o Play instala ransomware nos sistemas de uma empresa, criptografando seus dados e exigindo o pagamento de um resgate ou exfiltrando dados comerciais e vendendo-os em um fórum da dark web. Alguns de seus ataques tiveram repercussões internacionais, afetando centenas de milhares de clientes ao mesmo tempo.

O grupo de ransomware Play tem um blog on-line do Tor, onde publica detalhes de cada um de seus ataques, incluindo resumos dos dados que conseguiu capturar durante cada ataque.

Métodos exclusivos usados pelo grupo de ransomware Play

O Play utiliza as vulnerabilidades CVE-2020-12812 e CVE-2018-13379 do FortiOS, juntamente com servidores RDP expostos, para violar as organizações. Depois de acessar um sistema, eles distribuem cargas de ransomware pelo sistema usando os Objetos de Política de Grupo. Ao executá-los como tarefas agendadas, eles podem iniciar sistematicamente a criptografia de arquivos em uma rede, assumindo rapidamente o controle.

Uma das características que definem essa gangue de ransomware é o uso de criptografia intermitente. No ransomware tradicional, as cargas úteis criptografam a totalidade dos arquivos, impedindo que os administradores de rede os acessem. No entanto, a criptografia rápida de muitos arquivos é um vetor de ameaça que muitos sistemas de segurança reconhecerão e sinalizarão.

Para superar essa defesa, o uso de criptografia intermitente do Play criptografará apenas partes seletivas de cada arquivo.

Essa abordagem permite que eles passem despercebidos e evitem a maioria das soluções de Segurança da endpoint e, ao mesmo tempo, criptografem os principais bytes em arquivos que dão acesso inicial ao agente da ameaça e bloqueiam a própria empresa.

A Play também aproveita a reputação de uma empresa para pressioná-la a entrar em Conformidade. De acordo com a CSA, a Play oferece sigilo total a qualquer empresa que pague sua taxa de ransomware, e aquelas que não pagarem terão todos os seus dados publicados instantaneamente on-line e os detalhes da exploração publicados em seu blog Tor.

Ataques notáveis do grupo de ransomware Play

O Play lançou campanhas internacionais de ransomware, muitas das quais afetaram instituições de alto nível, incluindo grandes empresas, governos e até mesmo grandes prefeituras.

Aqui estão alguns dos ataques mais notáveis dos últimos anos:

  • Condado de Dallas: O grupo Play ransomware lançou um ataque aos registros privados do condado de Dallas. Mais de 200.000 pessoas tiveram seus registros roubados na violação, incluindo SSNs, números de identificação estadual, informações de contribuintes, informações médicas e até detalhes do seguro saúde.
  • Governo suíço: o Play lançou um ataque ao governo suíço em maio de 2023, violando mais de 1,3 milhão de registros confidenciais de seus servidores privados. Destes, 65.000 estavam diretamente relacionados à administração federal, criando um grande risco de segurança para o país.
  • Arnold Clark: A Arnold Clark é a maior varejista independente de automóveis da Europa e outro dos principais alvos da Play. A Play roubou informações de identificação, dados bancários e registros completos de registro de veículos de clientes, com a empresa entrando em negociações com a Play.
  • Judiciário de Córdoba: No final de 2022, os sistemas judiciários da cidade de Córdoba sofreram um ataque cibernético orquestrado pelo Play. O típico .play A criptografia estava em todos os sistemas, com o grupo de ransomware deixando um simples ReadMe.txt que listava "Play" e um endereço de e-mail para contato para discutir o resgate.

A grande maioria das histórias relacionadas ao Play ganha grande atenção da mídia e depois desaparece rapidamente dos olhos do público. Parece que, sem sistemas de defesa claros e opções para recuperar seus dados, as organizações corrompidas podem ter que entrar em contato com o grupo de ransomware Play.

Embora o Play tenha sido menos ativo em 2024 do que nos anos anteriores, ele ainda representa uma grande ameaça para organizações inseguras.

Prevenção e atenuação de ataques de ransomware

Aqui estão algumas das principais estratégias para se proteger de ataques de ransomware:

  • Use controles de acesso: Ao segmentar sua rede e criar um sistema de permissões, o senhor limita o acesso total que qualquer conta comprometida terá ao seu sistema. Em uma rede não segmentada, uma conta comprometida poderia sinalizar a corrupção completa do seu sistema remoto. A segmentação do controle de acesso impede que isso aconteça e reduz a probabilidade de um bloqueio completo.
  • Implantar a proteção de endpoint: Detectar uma ameaça de ransomware e neutralizá-la o mais rápido possível é vital para defender efetivamente sua empresa contra esse vetor de ataque. As soluções de proteção de endpoint ajudarão a localizar e mitigar rapidamente um ataque de ransomware.
  • Atualize seus sistemas: A atualização regular de seus sistemas e a aplicação de patches para a versão mais recente do software ajudarão a reduzir a probabilidade de sua empresa ter uma vulnerabilidade conhecida em seu sistema. Regularmente, são lançados patches de software para remover vulnerabilidades.
  • Implementar planos de contingência: Elaborar planos de contingência eficazes para o que sua empresa fará em um cenário de ransomware é uma maneira útil de desenvolver um plano abrangente de resposta a ameaças. Por exemplo, sua empresa pode identificar quais backups devem ser desenvolvidos e delinear um caminho para segmentar seus sistemas nos primeiros indícios da ocorrência de um ataque.

Proteção contra ransomware com Check Point

O Play e outros grandes grupos de ransomware estão se tornando muito mais comuns, com o escopo absoluto das superfícies de ataque das empresas modernas tornando as empresas mais vulneráveis do que nunca. Diante da crescente ameaça cibernética, as empresas precisam recorrer a soluções eficazes de segurança cibernética para manter seus negócios o mais seguros possível.

Check PointO software antiransomware forma um segmento central da solução completa de Segurança da endpoint. Com um nível abrangente de proteção em todas as empresas endpoint, o Check Point permite que sua empresa automatize a segurança cibernética e aprimore as defesas em todas as áreas.

Com essa solução, sua empresa poderá reduzir o risco de um ataque bem-sucedido de ransomware e, ao mesmo tempo, proteger-se de várias outras ameaças importantes à segurança cibernética. Entre em contato com Check Point para agendar um demo hoje mesmo.

Iniciar

Harmony Endpoint

Guia do CISO para prevenção de ransomware

Check PointRelatório de Cibersegurança de 2024 da OMS

Proteção contra ransomware

Tópicos relacionados

8Base Ransomware Group

Recuperação de ransomware

Armário ransomware

Tripla extorsão ransomware

Akira Ransomware

×
  Opinião
This website uses cookies for its functionality and for analytics and marketing purposes. By continuing to use this website, you agree to the use of cookies. For more information, please read our Cookies Notice.
OK