El grupo de ransomware Play fue responsable de alrededor de 300 ataques exitosos desde junio de 2022, según un aviso conjunto de ciberseguridad de los gobiernos de EE. UU. y Australia.
La Oficina Federal de Investigaciones (FBI), la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y el Centro Australiano de Seguridad Cibernética (ACSC) de la Dirección de Señales de Australia (ASD) dijeron que el grupo de ransomware se ha dirigido a una variedad de empresas e infraestructura crítica en América del Norte, Sur. América y Europa a partir de junio de 2022 y octubre de 2023.
En Australia, el primer incidente de ransomware Play se observó en abril de 2023 y, más recientemente, en noviembre de 2023.
Las agencias creen que Play es un grupo cerrado, una declaración en el sitio web de filtración de datos del actor de amenazas afirma “garantizar el secreto de los acuerdos”.
El grupo emplea un modelo de doble extorsión, extrayendo los datos de las víctimas antes de cifrar los sistemas. Sus notas de rescate no contienen una exigencia de pago ni instrucciones, sino que se les indica a las víctimas que se comuniquen con ellos a una dirección de correo electrónico que termina en @gmx[.]de.
Luego, los pagos se realizan en criptomonedas a las direcciones de billetera proporcionadas por los atacantes. El grupo Play amenaza con publicar datos exfiltrados en su sitio de filtración en la red Tor para presionar a las víctimas a pagar.
Sus métodos para obtener acceso inicial a la red de las organizaciones son mediante el abuso de cuentas válidas y la explotación de aplicaciones públicas, así como el uso de servicios externos como el Protocolo de escritorio remoto (RDP) y las redes privadas virtuales (VPN).
Una vez en la red, el grupo utiliza herramientas para desactivar el software antivirus y los archivos de registro. Luego emplea aplicaciones de comando y control (C2), como Cobalt Strike, para ayudar con el movimiento lateral y la ejecución de archivos.
Los actores de amenazas buscan credenciales no seguras y utilizan el volcador de credenciales Mimikatz para obtener acceso de administrador de dominio.
Para extraer datos, los atacantes suelen dividir los datos comprometidos en segmentos y utilizar herramientas como WinRAR para comprimir archivos en formato .RAR. Luego utilizan WinSCP para transferir los datos a cuentas controladas por los actores.
Finalmente, los archivos se cifran con cifrado híbrido AES-RSA, con una extensión .play agregada a los nombres de los archivos y un título de nota de rescate ReadMe[.]txt colocado en el directorio de archivos C:.
Cómo protegerse contra la amenaza del juego
El FBI, CISA y el ACSC de ASD establecieron una serie de medidas para que todas las organizaciones de infraestructura crítica y defensores de la red se defiendan contra las tácticas del grupo Play, que incluyen:
-Implementar un plan de recuperación de datos. Las organizaciones deben mantener y retener múltiples copias de servidores y datos confidenciales o de propiedad exclusiva en una ubicación físicamente separada, segmentada y segura.
-Exigir que todas las cuentas adopten las mejores prácticas de contraseñas. Las organizaciones deben seguir los estándares del Instituto Nacional de Estándares y Tecnología (NIST) en esta área, como el uso de contraseñas más largas de al menos ocho caracteres y el almacenamiento de contraseñas en administradores de contraseñas reconocidos por la industria.
-Requerir autenticación multifactor para todos los servicios. Esto es particularmente importante para el correo web, las VPN y las cuentas que acceden a sistemas críticos.
-Mantenga todos los sistemas operativos, software y firmware actualizados. Las organizaciones deben priorizar la reparación de vulnerabilidades explotadas conocidas en sistemas conectados a Internet
-Redes de segmentos. Esto puede ayudar a prevenir la propagación de ransomware al controlar los flujos de tráfico entre varias subredes y el acceso a ellas.
-Monitorear e investigar actividad anormal. Las organizaciones deben implementar una herramienta que registre e informe todo el tráfico de la red, incluida la actividad de movimiento lateral.
-Filtrar el tráfico de la red. Evitar que orígenes desconocidos o no confiables accedan a servicios remotos en sistemas internos impide que los actores de amenazas se conecten directamente a servicios de acceso remoto
-Validar controles de seguridad. Se recomienda a las organizaciones que prueben sus programas de seguridad frente a los comportamientos de amenazas asignados al marco MITRE ATT&CK for Enterprise.