Skip links

Play Ransomware en 2023: Comercialización estratégica de una amenaza digital en ascenso

Play Ransomware en 2023: Comercialización estratégica de una amenaza digital en ascenso

21/12/2023

En un entorno digital en constante evolución, la ciberseguridad se erige como una prioridad ineludible.

En este escenario de desafíos continuos, el ransomware conocido como Play ha experimentado una evolución significativa, adoptando tácticas de doble extorsión y comercializando sus operaciones.

También conocido como Balloonfly y PlayCrypt, hizo su primera aparición en junio de 2022, explotando vulnerabilidades específicas en Microsoft Exchange Server como (CVE-2022-41040 y CVE-2022-41082). Estas vulnerabilidades permiten la falsificación de solicitudes del lado del servidor (SSRF) y la ejecución remota de código cuando el atacante puede acceder a Microsoft Exchange desde PowerShell.

Este grupo obtiene acceso inicial a las redes de las víctimas mediante el abuso de cuentas válidas [ T1078 ] y la explotación de aplicaciones públicas [ T1190 ], específicamente a través del conocido FortiOS ( CVE-2018-13379 y CVE-2020-12812 ) y Microsoft Exchange. (ProxyNotShell [ CVE-2022-41040 y CVE-2022-41082 ]) vulnerabilidades. Se ha observado que los actores del ransomware Play utilizan servicios externos [ T1133 ] como el Protocolo de escritorio remoto (RDP) y las redes privadas virtuales (VPN) para el acceso inicial.

Play ha adoptado la modalidad de «Ransomware as a Service» (RaaS), una tendencia preocupante que facilita a otros ciberdelincuentes llevar a cabo sus propias campañas utilizando la infraestructura y las tácticas de Play Ransomware, siguiendo detalladas instrucciones proporcionadas con el servicio.

Uno de los aspectos más sorprendentes destacados en el informe emitido por Adlumin es la falta de variación entre los ataques de ransomware Play. La uniformidad se extiende desde la elección de la carpeta de música pública para ocultar archivos maliciosos hasta el uso de contraseñas idénticas para crear cuentas con altos privilegios.

Los actores del ransomware Play emplean un modelo de doble extorsión, cifrando los sistemas después de extraer datos. Las notas de rescate no incluyen una demanda de rescate inicial ni instrucciones de pago; más bien, se indica a las víctimas que se comuniquen con los actores de la amenaza por correo electrónico.

La adopción de esta táctica intensifica la presión sobre las víctimas y amplía las posibilidades de éxito para los operadores maliciosos.

Según estadísticas recopiladas por Malwarebytes, Play Ransomware dejó su huella en cerca de 40 víctimas solo en noviembre de 2023, posicionándose por detrás de LockBit y BlackCat (también conocidos como ALPHV y Noberus).

Frente a esta evolución sofisticada, las organizaciones deben adoptar medidas preventivas robustas.

Algunas de las medidas de mitigación recomendadas por el FBI, CISA y ACSC de ASD, son:

  1. Implementar un plan de recuperación para mantener y retener múltiples copias de servidores y datos confidenciales o propietarios [ CPG 2.F, 2.R, 2.S ] en una ubicación físicamente separada, segmentada y segura (es decir, disco duro, dispositivo de almacenamiento, la nube).
  2. Exigir que todas las cuentas con inicios de sesión con contraseña cumplan con los estándares del NIST para desarrollar y administrar políticas de contraseñas.
  3. Requerir autenticación multifactor para todos los servicios en la medida de lo posible.
  4. Mantener todos los sistemas operativos, software y firmware actualizados.
  5. Instale, actualice periódicamente y habilite la detección en tiempo real del software antivirus en todos los hosts.
  6. Mantenga copias de seguridad de datos fuera de línea y realice copias de seguridad y restauración periódicamente.

 

Si deseas obtener más información al respecto de las tácticas, técnicas y procedimientos (TTP) del grupo Play ransomware puedes dirigirte a: https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-352a