PLAY
Mit seiner kürzlichen Umstellung auf ein Ransomware-as-a-Service (RaaS)-Modell hat PLAY - auch bekannt als PlayCrypt - nun Managed Service Provider (MSPs) weltweit im Visier und hat bereits mehr als 300 Einrichtungen betroffen.

Der Ursprung der PLAY
Die Gruppe PLAY ransomware , die aufgrund der Verwendung von Verschlüsselungstechniken, die für mit Russland verbundene Cyberkriminelle charakteristisch sind, verdächtigt wird, russische Verbindungen zu haben, tauchte 2022 mit der charakteristischen Dateierweiterung ".play" für ihre Verschlüsselungsaktivitäten auf.
PLAY weist Ähnlichkeiten mit Hive und Nokayawa auf. Eine bemerkenswerte Gemeinsamkeit ist die Verwendung von AdFind, einem Befehlszeilendienstprogramm zur Erfassung von Daten aus dem Active Directory, was ihr ähnliches Betriebsverhalten unterstreicht.

Zielländer von PLAY
Zunächst konzentrierten sich die Cyberangriffe auf Deutschland und Europa, doch inzwischen hat die Gruppe ihre Reichweite auf Ziele in den Vereinigten Staaten, Brasilien, Argentinien, Mexiko und Australien ausgeweitet.

Zielbranchen von PLAY
PLAYDie Aktivitäten des Unternehmens konzentrieren sich hauptsächlich auf die Telekommunikation und Gesundheitswesen aber auch Organisationen aus den Bereichen Medien/Kommunikation, Transport, Bauwesen und Regierung Sektoren.
Quelle: Trend Micro
PLAY's Opfer
Bis heute sind mehr als 814 Opfer den bösartigen Machenschaften zum Opfer gefallen.

PLAYDie Angriffsmethode

PLAY verschafft sich über legitime Konten Zugang und nutzt Schwachstellen in FortiOS und Microsoft Exchange aus.

PLAY Eskalation der Privilegien mit Hilfe von Tools wie Mimikatz und Hinzufügen von Benutzern zu Administratorgruppen.

PLAY umgeht Abwehrmaßnahmen, indem er Antivirenprogramme deaktiviert, Protokolle löscht und eine intermittierende Verschlüsselung einsetzt.

PLAY verwendet Mimikatz, um Anmeldeinformationen auszulesen, ausgeführt als Modul von Cobalt Strike und Empirer.

PLAY führt Active-Directory-Abfragen mit AdFind und Bloodhound sowie eine Netzwerkaufzählung mit Grixba durch.

PLAY verbreitet sich seitlich über Cobalt Strike und SystemBC und führt Dateien über Gruppenrichtlinienobjekte aus.


PLAY setzt Empire, System BC, Cobalt Strike, PsExec und Batch-Dateien zur Ausführung ein.

Für die Exfiltration und Verschlüsselung segmentiert PLAY Daten, verwendet WinRAR und WinSCP und setzt eine hybride AES-RSA-Verschlüsselung mit der Erweiterung ".play" ein.

PLAY fordert Lösegeld in Kryptowährungen und droht mit Datenverlusten, wenn nicht gezahlt wird.

PLAY verschafft sich über legitime Konten Zugang und nutzt Schwachstellen in FortiOS und Microsoft Exchange aus.

PLAY Eskalation der Privilegien mit Hilfe von Tools wie Mimikatz und Hinzufügen von Benutzern zu Administratorgruppen.

PLAY umgeht Abwehrmaßnahmen, indem er Antivirenprogramme deaktiviert, Protokolle löscht und eine intermittierende Verschlüsselung einsetzt.

PLAY verwendet Mimikatz, um Anmeldeinformationen auszulesen, ausgeführt als Modul von Cobalt Strike und Empirer.

PLAY führt Active-Directory-Abfragen mit AdFind und Bloodhound sowie eine Netzwerkaufzählung mit Grixba durch.

PLAY verbreitet sich seitlich über Cobalt Strike und SystemBC und führt Dateien über Gruppenrichtlinienobjekte aus.


PLAY setzt Empire, System BC, Cobalt Strike, PsExec und Batch-Dateien zur Ausführung ein.

Für die Exfiltration und Verschlüsselung segmentiert PLAY Daten, verwendet WinRAR und WinSCP und setzt eine hybride AES-RSA-Verschlüsselung mit der Erweiterung ".play" ein.

PLAY fordert Lösegeld in Kryptowährungen und droht mit Datenverlusten, wenn nicht gezahlt wird.
TTPs verwendet von PLAY
So erkennen Sie PLAY mit Vectra AI
Liste der in der Vectra AI Plattform verfügbaren Erkennungen, die auf einen ransomware Angriff hindeuten würden.
Häufig gestellte Fragen
Was ist die PLAY Ransomware Gruppe?
Die PLAY Ransomware Group ist eine cyberkriminelle Organisation, die dafür bekannt ist, dass sie ransomware einsetzt, um die Dateien ihrer Opfer zu verschlüsseln und Lösegeld für Entschlüsselungsschlüssel zu verlangen. Sie haben es oft auf Unternehmen mit schwachen Sicherheitsvorkehrungen abgesehen.
Wie kann PLAY ransomware Systeme infizieren?
PLAY ransomware infizieren Systeme in der Regel über phishing -E-Mails, Exploit-Kits und kompromittierte Anmeldeinformationen, wobei sie Schwachstellen ausnutzen, um sich Zugang zu verschaffen und ihre Nutzlast zu verteilen.
Welche Branchen sind am stärksten von PLAY ransomware Angriffen bedroht?
Während PLAY ransomware eine breite Palette von Sektoren ins Visier genommen hat, waren kritische Infrastrukturen, das Gesundheitswesen und Finanzdienstleistungen aufgrund der Sensibilität ihrer Daten besonders gefährdet.
Was sind die Indikatoren für eine Kompromittierung (IoCs) in Verbindung mit PLAY ransomware ?
Zu den IoCs für PLAY ransomware gehören ungewöhnlicher Netzwerkverkehr, verdächtige Änderungen an Registrierungsschlüsseln, Erpresserbriefe und Dateierweiterungen mit Bezug zu malware.
Wie können SOC-Teams PLAY ransomware erkennen und auf sie reagieren?
SOC-Teams sollten fortschrittliche Lösungen zur Erkennung von Bedrohungen einsetzen, regelmäßige Analysen des Netzwerkverkehrs durchführen und Systeme zur Erkennung von und Reaktion auf Bedrohungen implementieren. Die sofortige Isolierung infizierter Systeme und die Durchführung eines Reaktionsplans sind entscheidend.
Was sind die besten Methoden zur Verhinderung von PLAY ransomware Infektionen?
Zu den bewährten Praktiken gehören regelmäßige Software-Updates, Schulungen der Mitarbeiter zum Thema Cybersicherheit, robuste E-Mail-Filter und die Verwendung von Multi-Faktor-Authentifizierung (MFA) zum Schutz vor phishing und der Kompromittierung von Zugangsdaten.
Können Daten, die von PLAY ransomware verschlüsselt wurden, entschlüsselt werden, ohne das Lösegeld zu bezahlen?
Auch wenn spezifische Entschlüsselungswerkzeuge für PLAY ransomware nicht immer verfügbar sind, sollten Sie sich von Cybersecurity-Experten beraten lassen und verfügbare Entschlüsselungswerkzeuge für ähnliche Varianten von ransomware untersuchen, bevor Sie Lösegeldzahlungen in Betracht ziehen.
Wie funktioniert die PLAY ransomware Gruppe finanziell?
Die Gruppe PLAY arbeitet nach dem Lösegeldmodell und fordert Zahlungen, die häufig in Kryptowährungen erfolgen. Sie können auch eine doppelte Erpressungstaktik anwenden, indem sie damit drohen, gestohlene Daten weiterzugeben, wenn das Lösegeld nicht gezahlt wird.
Was sollte in einem Reaktionsplan für einen PLAY ransomware Angriff enthalten sein?
Ein Reaktionsplan sollte die sofortige Isolierung der betroffenen Systeme, die Identifizierung des ransomware Stammes, Kommunikationsprotokolle, Datenwiederherstellungsprozeduren von Backups und rechtliche Überlegungen für Lösegeldzahlungen beinhalten.
Wie können Organisationen nach einem Angriff auf PLAY ransomware mit den Strafverfolgungsbehörden zusammenarbeiten?
Unternehmen sollten den Vorfall den lokalen oder nationalen Cybersicherheitsbehörden melden und detaillierte Informationen über den Angriff bereitstellen, ohne den laufenden Betrieb oder Datenschutzgesetze zu gefährden.