PLAY
Mit seiner kürzlichen Umstellung auf ein Ransomware-as-a-Service (RaaS)-Modell hat PLAY - auch bekannt als PlayCrypt - nun Managed Service Provider (MSPs) weltweit im Visier und hat bereits mehr als 300 Einrichtungen betroffen.
Der Ursprung der PLAY
Die Gruppe PLAY ransomware , die aufgrund der Verwendung von Verschlüsselungstechniken, die für mit Russland verbundene Cyberkriminelle charakteristisch sind, verdächtigt wird, russische Verbindungen zu haben, tauchte 2022 mit der charakteristischen Dateierweiterung ".play" für ihre Verschlüsselungsaktivitäten auf.
PLAY weist Ähnlichkeiten mit Hive und Nokayawa auf. Eine bemerkenswerte Gemeinsamkeit ist die Verwendung von AdFind, einem Befehlszeilendienstprogramm zur Erfassung von Daten aus dem Active Directory, was ihr ähnliches Betriebsverhalten unterstreicht.
Quelle: Trend Micro und OCD
Ziele
PLAYZiele
Zielländer von PLAY
Die Gruppe konzentriert sich bei ihren Cyberangriffen in erster Linie auf Deutschland, hat ihre Reichweite aber auch auf Ziele in den USA, Brasilien, Argentinien, Portugal, Belgien und der Schweiz ausgedehnt.
Quelle: Trend Micro
Zielbranchen von PLAY
PLAYDie Aktivitäten des Unternehmens konzentrieren sich hauptsächlich auf die Telekommunikation und Gesundheitswesen aber auch Organisationen aus den Bereichen Medien/Kommunikation, Transport, Bauwesen und Regierung Sektoren.
Quelle: Trend Micro
Zielbranchen von PLAY
PLAYDie Aktivitäten des Unternehmens konzentrieren sich hauptsächlich auf die Telekommunikation und Gesundheitswesen aber auch Organisationen aus den Bereichen Medien/Kommunikation, Transport, Bauwesen und Regierung Sektoren.
Quelle: Trend Micro
PLAY's Opfer
Bis heute sind mehr als 436 Opfer den bösartigen Machenschaften zum Opfer gefallen.
Quelle: ransomware.live
Angriffsmethode
PLAYDie Angriffsmethode
PLAY verschafft sich über legitime Konten Zugang und nutzt Schwachstellen in FortiOS und Microsoft Exchange aus.
PLAY Eskalation der Privilegien mit Hilfe von Tools wie Mimikatz und Hinzufügen von Benutzern zu Administratorgruppen.
PLAY umgeht Abwehrmaßnahmen, indem er Antivirenprogramme deaktiviert, Protokolle löscht und eine intermittierende Verschlüsselung einsetzt.
PLAY verwendet Mimikatz, um Anmeldeinformationen auszulesen, ausgeführt als Modul von Cobalt Strike und Empirer.
PLAY führt Active-Directory-Abfragen mit AdFind und Bloodhound sowie eine Netzwerkaufzählung mit Grixba durch.
PLAY verbreitet sich seitlich über Cobalt Strike und SystemBC und führt Dateien über Gruppenrichtlinienobjekte aus.
PLAY setzt Empire, System BC, Cobalt Strike, PsExec und Batch-Dateien zur Ausführung ein.
Für die Exfiltration und Verschlüsselung segmentiert PLAY Daten, verwendet WinRAR und WinSCP und setzt eine hybride AES-RSA-Verschlüsselung mit der Erweiterung ".play" ein.
PLAY fordert Lösegeld in Kryptowährungen und droht mit Datenverlusten, wenn nicht gezahlt wird.
Erster Zugang
PLAY verschafft sich über legitime Konten Zugang und nutzt Schwachstellen in FortiOS und Microsoft Exchange aus.
Rechte-Eskalation
PLAY Eskalation der Privilegien mit Hilfe von Tools wie Mimikatz und Hinzufügen von Benutzern zu Administratorgruppen.
Verteidigung Umgehung
PLAY umgeht Abwehrmaßnahmen, indem er Antivirenprogramme deaktiviert, Protokolle löscht und eine intermittierende Verschlüsselung einsetzt.
Zugang zu Anmeldeinformationen
PLAY verwendet Mimikatz, um Anmeldeinformationen auszulesen, ausgeführt als Modul von Cobalt Strike und Empirer.
Entdeckung
PLAY führt Active-Directory-Abfragen mit AdFind und Bloodhound sowie eine Netzwerkaufzählung mit Grixba durch.
Seitliche Bewegung
PLAY verbreitet sich seitlich über Cobalt Strike und SystemBC und führt Dateien über Gruppenrichtlinienobjekte aus.
Sammlung
Ausführung
PLAY setzt Empire, System BC, Cobalt Strike, PsExec und Batch-Dateien zur Ausführung ein.
Exfiltration
Für die Exfiltration und Verschlüsselung segmentiert PLAY Daten, verwendet WinRAR und WinSCP und setzt eine hybride AES-RSA-Verschlüsselung mit der Erweiterung ".play" ein.
Auswirkungen
PLAY fordert Lösegeld in Kryptowährungen und droht mit Datenverlusten, wenn nicht gezahlt wird.
MITRE ATT&CK Kartierung
TTPs verwendet von PLAY
PLAY greift strategisch Backup-Systeme an, um die Opfer ohne alternative Datenwiederherstellungsoptionen zurückzulassen, und setzt akribische Strategien ein, um Backup-Funktionen zu eliminieren.
TA0001: Initial Access
T1190
Exploit Public-Facing Application
T1133
External Remote Services
T1078
Valid Accounts
TA0002: Execution
No items found.
TA0003: Persistence
T1078
Valid Accounts
TA0004: Privilege Escalation
T1484
Group Policy Modification
T1078
Valid Accounts
TA0005: Defense Evasion
T1070
Indicator Removal
T1562
Impair Defenses
T1484
Group Policy Modification
T1078
Valid Accounts
TA0006: Credential Access
T1552
Unsecured Credentials
T1003
OS Credential Dumping
TA0007: Discovery
T1518
Software Discovery
T1016
System Network Configuration Discovery
TA0008: Lateral Movement
T1570
Lateral Tool Transfer
TA0009: Collection
T1560
Archive Collected Data
TA0011: Command and Control
No items found.
TA0010: Exfiltration
T1048
Exfiltration Over Alternative Protocol
TA0040: Impact
T1657
Financial Theft
T1486
Data Encrypted for Impact
Plattform-Detektionen
So erkennen Sie PLAY mit Vectra AI
Liste der in der Vectra AI Plattform verfügbaren Erkennungen, die auf einen ransomware Angriff hindeuten würden.
Häufig gestellte Fragen
Was ist die PLAY Ransomware Gruppe?
Die PLAY Ransomware Group ist eine cyberkriminelle Organisation, die dafür bekannt ist, dass sie ransomware einsetzt, um die Dateien ihrer Opfer zu verschlüsseln und Lösegeld für Entschlüsselungsschlüssel zu verlangen. Sie haben es oft auf Unternehmen mit schwachen Sicherheitsvorkehrungen abgesehen.
Wie kann PLAY ransomware Systeme infizieren?
PLAY ransomware infizieren Systeme in der Regel über phishing -E-Mails, Exploit-Kits und kompromittierte Anmeldeinformationen, wobei sie Schwachstellen ausnutzen, um sich Zugang zu verschaffen und ihre Nutzlast zu verteilen.
Welche Branchen sind am stärksten von PLAY ransomware Angriffen bedroht?
Während PLAY ransomware eine breite Palette von Sektoren ins Visier genommen hat, waren kritische Infrastrukturen, das Gesundheitswesen und Finanzdienstleistungen aufgrund der Sensibilität ihrer Daten besonders gefährdet.
Was sind die Indikatoren für eine Kompromittierung (IoCs) in Verbindung mit PLAY ransomware ?
Zu den IoCs für PLAY ransomware gehören ungewöhnlicher Netzwerkverkehr, verdächtige Änderungen an Registrierungsschlüsseln, Erpresserbriefe und Dateierweiterungen mit Bezug zu malware.
Wie können SOC-Teams PLAY ransomware erkennen und auf sie reagieren?
SOC-Teams sollten fortschrittliche Lösungen zur Erkennung von Bedrohungen einsetzen, regelmäßige Analysen des Netzwerkverkehrs durchführen und Systeme zur Erkennung von und Reaktion auf Bedrohungen implementieren. Die sofortige Isolierung infizierter Systeme und die Durchführung eines Reaktionsplans sind entscheidend.
Was sind die besten Methoden zur Verhinderung von PLAY ransomware Infektionen?
Zu den bewährten Praktiken gehören regelmäßige Software-Updates, Schulungen der Mitarbeiter zum Thema Cybersicherheit, robuste E-Mail-Filter und die Verwendung von Multi-Faktor-Authentifizierung (MFA) zum Schutz vor phishing und der Kompromittierung von Zugangsdaten.
Können Daten, die von PLAY ransomware verschlüsselt wurden, entschlüsselt werden, ohne das Lösegeld zu bezahlen?
Auch wenn spezifische Entschlüsselungswerkzeuge für PLAY ransomware nicht immer verfügbar sind, sollten Sie sich von Cybersecurity-Experten beraten lassen und verfügbare Entschlüsselungswerkzeuge für ähnliche Varianten von ransomware untersuchen, bevor Sie Lösegeldzahlungen in Betracht ziehen.
Wie funktioniert die PLAY ransomware Gruppe finanziell?
Die Gruppe PLAY arbeitet nach dem Lösegeldmodell und fordert Zahlungen, die häufig in Kryptowährungen erfolgen. Sie können auch eine doppelte Erpressungstaktik anwenden, indem sie damit drohen, gestohlene Daten weiterzugeben, wenn das Lösegeld nicht gezahlt wird.
Was sollte in einem Reaktionsplan für einen PLAY ransomware Angriff enthalten sein?
Ein Reaktionsplan sollte die sofortige Isolierung der betroffenen Systeme, die Identifizierung des ransomware Stammes, Kommunikationsprotokolle, Datenwiederherstellungsprozeduren von Backups und rechtliche Überlegungen für Lösegeldzahlungen beinhalten.
Wie können Organisationen nach einem Angriff auf PLAY ransomware mit den Strafverfolgungsbehörden zusammenarbeiten?
Unternehmen sollten den Vorfall den lokalen oder nationalen Cybersicherheitsbehörden melden und detaillierte Informationen über den Angriff bereitstellen, ohne den laufenden Betrieb oder Datenschutzgesetze zu gefährden.