Play ransomware (Actualización)
El grupo de ransomware Play ha estado presente desde junio del 2022, en sus inicios también se le conocía con el seudónimo de “PlayCrypt”, pero con el paso del tiempo se le conoció solo como play. Este grupo a pesar de llevar ya tiempo en la escena cibercriminal ha prevalecido como uno de los ransomwares más peligrosos debido a su número de ataques desde su descubrimiento a la fecha ha cobrado un total de 759 víctimas colocándose así dentro del top 3 de los ransomwares más peligrosos desde el 2022 a la fecha.
Play es un ransomware que utiliza tácticas de doble extorsión, eso significa que, al infiltrarse en un sistema realiza un reconocimiento y extrae todos los datos de la víctima, una vez que la exfiltración se completa se proceden a cifrar los datos y dejar una nota de rescate en la cual se especifica que de no pagar el rescate se procederá a poner sus datos a la venta o filtrarlos al público.
El método de distribución más común del ransomware es mediante ingeniería social específicamente utilizando campañas de phishing que parecen legítimas y confiables pero contienen archivos o enlaces maliciosos. Además Play es conocido por explotar vulnerabilidades activas en software y sistemas operativos para propagarse y comprometer a sus víctimas. Entre las vulnerabilidades más explotadas destacan las de Fortinet SSL VPN y Microsoft Exchange que son explotadas a través de accesos remotos y credenciales comprometidas.
Y aunque el ransomware inicio su actividad en el año 2022 aun se mantiene activo y año con año ha aumentado su número de ataques, siendo el 2023 el año con mayor registro de víctimas con 673, incluso en el trascurso de los tres meses que van de este año 2025 ya se han registrado 50 víctimas.
[2] Sitio oficial del raosnmware Play
Taxonomia MITTRE ATT&CK
|
Etapa |
Tecnica |
ID |
|
Initial Access |
External remote service |
T1133 |
|
Valid accounts |
T1078 |
|
|
Execution |
Malicious file |
T1204.002 |
|
User execution |
T1204 |
|
|
Persistence |
External remote services |
T1133 |
|
Valid accounts |
T1078 |
|
|
Privilege escalation |
Valid accounts |
T1078 |
|
Defense evasion |
Deobfuscate/ decode file or information |
T1140 |
|
Binary padding |
T1027.001 |
|
|
Obfuscated files or information |
T1027 |
|
|
Software packing |
T1027.002 |
|
|
Dynamic api resolution |
T1027.007 |
|
|
Discovery |
Valid Accounts |
T1078 |
|
Network share discovery |
T1135 |
|
|
File and directory discovery |
T1083 |
|
|
Impact |
Data encrypted for impact |
T1486 |
Indicadores de Compromiso:
|
IOC |
Tipo |
|
3621468d188d4c3e2c6dfe3e9ddcfe3894701666bad918bc195aba0c44e46e94 |
SHA-256 |
|
172.96.137.224 |
IP |
|
f01eae4ee3cc03d621be7b0af7d60411 |
MD5 |
|
540853beffb0ba9b26cf305bcf92fad82599eb3c |
SHA-1 |
|
E3069713add2d99750af6c30580fb3595a0b6abc |
SHA-1 |
|
b1ac26dac205973cd1288a38265835eda9b9ff2edc6bd7c6cb9dee4891c9b449 |
SHA-256 |
|
e12f93d462a622f32a4ff1e646549c42 |
MD5 |
|
3890272563cd044761a9a5c0ab049a2117b38884 |
SHA-1 |
|
a0ee0761602470e24bcea5f403e8d1e8bfa29832 |
SHA-1 |
|
108.61.142.190 |
IP |
|
45.76.165.129 |
IP |
|
2A5E003764180EB3531443946D2F3C80FFCB2C30 |
SHA-1 |
|
http://108.61.142.190/1.dll.sa |
URL |
|
http://108.61.142.190/64.zip |
URL |
|
http://108.61.142.190/FX300.rar |
URL |
|
http://108.61.142.190/PsExec.exe |
URL |
|
http://108.61.142.190/host1.sa |
URL |
|
http://108.61.142.190/winrar-x64-611.exe |
URL |
Recomendaciones
-
Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
-
Auditar herramientas de acceso remoto. (NIST CSF, 2024)
-
Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
-
Limitar estrictamente el uso de los protocolos SMB y RDP.
-
Realizar auditorías de seguridad. (NIST CSF, 2024)
-
Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
-
Tener filtros de correo electrónico y spam.
-
Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
-
Realizar copias de seguridad, respaldos o back-ups constantemente.
-
Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
-
Revisar continuamente los privilegios de los usuarios.
-
Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
-
Habilitar la autenticación multifactor.
Referencias
- Palacio, J. R. (2024,Diciembre 03). Ransomware PLAY | 16 estrategias de prevención y respuesta. Ransomware Help. Recuperado el 05 de marzo del 2025, en: https://www.ransomwarehelp.com/es/tipos-de-ransomware/ransomware-play/
- PLAY Ransomware. (2022,Agosto 22). En BCSC. Basque Cibersegurity Centre. Recuperado el 05 de marzo del 2025, en: https://www.ciberseguridad.eus/sites/default/files/2023-04/BCSC-Malware-PLAY_V1-TLPClear.pdf
- LevelBlue - Open Threat Exchange. (2024,Agosto 23). LevelBlue Open Threat Exchange. Recuperado el 05 de marzo del 2025, en: https://otx.alienvault.com/pulse/66c87ff4b80ec01f9ab7a2ca
- LevelBlue - Open Threat Exchange. (2024,Julio 23). LevelBlue Open Threat Exchange. Recuperado el 05 de marzo del 2025, en: https://otx.alienvault.com/pulse/669f686546d076e924186daa
- LevelBlue - Open Threat Exchange. (2024,Enero 17). LevelBlue Open Threat Exchange. Recuperado el 05 de marzo del 2025, en: https://otx.alienvault.com/pulse/678a721f16a7938c950928dd
- LevelBlue - Open Threat Exchange. (2024,Noviembre 02). LevelBlue Open Threat Exchange. Recuperado el 05 de marzo del 2025, en: https://otx.alienvault.com/pulse/6726025258edd3e34410bec5
- LevelBlue - Open Threat Exchange. (2024,Noviembre 13). LevelBlue Open Threat Exchange. Recuperado el 05 de marzo del 2025, en: https://otx.alienvault.com/pulse/67342892c6877713c559c53e
.jfif)
