Hosted on Acast. See acast.com/privacy for more information.
Hosted on Acast. See acast.com/privacy for more information.
Investigación Profunda de Grupos de Ransomware
Investigación 6 - Ransomware Play
Redes Sociales
blueteam.smi@hotmail.com
https://shows.acast.com/blueteam-sin-morir-en-el-intento
https://linkedin.com/company/blue-team-smi
https://x.com/blueteam_smi
https://www.youtube.com/@BlueTeamSMI
Donativo
https://buymeacoffee.com/btsmi
Identificación
Desde junio de 2022, el grupo Play (alias Balloonfly, PlayCrypt) ha afectado a más de 950 organizaciones. Su método: robar datos antes de cifrarlos (extensión .PLAY), dejar nota de rescate y amenazar con filtrar la lista de víctimas en la red TOR.
Origen y Perfil
Se sospecha conexión con operadores rusos (Hive, Nokoyawa) por similitudes en cifrado e infraestructura, aunque sin atribución oficial. Emplean una única recompilación de binarios en cada ataque y comparten balizas de Cobalt Strike (watermark 206546002) para evadir detecciones.
TTPs (MITRE ATT&CK)
Acceso inicial: credenciales válidas (T1078), vulnerabilidades públicas (T1190) y RDP/VPN (T1133).
Descubrimiento: escaneo de red (T1016) y detección de software de seguridad (T1518.001).
Evasión: desactivación de herramientas (T1562.001) y borrado de logs (T1070.001).
Credenciales: volcado de credenciales (T1003) y búsqueda en almacenamientos inseguros (T1552).
Movimiento lateral: transferencia de herramientas (T1570) y PsExec.
Comando y Control: modificación de políticas de dominio (T1484.001).
Exfiltración: protocolos alternativos (T1048) via WinSCP/túneles C2.
Impacto: cifrado AES-RSA (T1486) y doble extorsión (T1657).
Flujo de Ataque
Ingreso: cuentas legítimas o fallos en FortiOS, Exchange, SimpleHelp.
Descubrimiento/Evasión: mapeo de red, desactivación de antivirus, borrado de logs.
Escalada: despliegue de beacons C2, PsExec, Mimikatz, WinPEAS.
Exfiltración & Cifrado: compresión/exfiltración (WinRAR/WinSCP), cifrado híbrido y renombrado a .PLAY.
Extorsión: nota de rescate y amenaza de publicación en TOR.
Modelo de Negocio
Rescates de US$ 250 000–2 000 000 (pueden llegar a 7–12 M en grandes víctimas), negociados luego hasta 50 000–100 000. Cobran en Bitcoin o Ethereum, cada víctima recibe cartera única tras contacto por correo o llamada.
Victimología
Afectados principalmente en servicios empresariales, manufactura, tecnología, agroalimentario y logística. Sectores geográficos: EE UU, Canadá, Reino Unido, Alemania, Francia, Australia, Argentina, Suiza, Corea del Sur y Sudáfrica.
Contramedidas y Detección
Implementar MFA, contraseñas fuertes y bloqueo de cuentas.
Segmentar la red y filtrar accesos remotos.
Mantener parches al día en FortiOS, Exchange y SimpleHelp.
Monitorizar EDR/NDR para detectar movimientos laterales y uso anómalo de PowerShell/WinRM.
Asegurar respaldos offline, cifrados e inmutables.
URLS
https://www.ransomware.live/group/play
https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-352a
https://unit42.paloaltonetworks.com/north-korean-threat-group-play-ransomware/
https://blog.tecnetone.com/play-ransomware-ahora-como-servicio-comercial-para-hackers
https://www.virustotal.com/gui/file/7d14b98cdc1b898bd0d9be80398fc59ab560e8c44e0a9dedac8ad4ece3d450b0/behavior
https://unaaldia.hispasec.com/2024/11/ciberdelincuentes-norcoreanos-y-ransomware-play-nueva-amenaza.html
Correos del grupo
boitelswaniruxl@gmx.com, teilightomemaucd@gmx.com, raniyumiamrm@gmx, derdiarikucisv@gmx
Hosted on Acast. See acast.com/privacy for more information.