Se estima que los actores de amenazas detrás del ransomware Play han afectado a aproximadamente 300 entidades en octubre de 2023, según un nuevo aviso conjunto de ciberseguridad de Australia y EE. UU.
«Los actores del ransomware Play emplean un modelo de doble extorsión, cifrando sistemas después de exfiltrar datos y han impactado a una amplia gama de empresas y organizaciones de infraestructura crítica en América del Norte, América del Sur, Europa y Australia», dijeron las autoridades. dicho.
Play, también llamado Balloonfly y PlayCrypt, surgió en 2022, explotando fallas de seguridad en los servidores Microsoft Exchange (CVE-2022-41040 y CVE-2022-41082) y dispositivos Fortinet (CVE-2018-13379 y CVE-2020-12812) para violar las empresas. e implementar malware de cifrado de archivos.
Vale la pena señalar que los ataques de ransomware explotan cada vez más las vulnerabilidades en lugar de utilizar correos electrónicos de phishing como vectores de infección iniciales, pasando de casi cero en la segunda mitad de 2022 a casi un tercio en la primera mitad de 2023, según datos de Corvus.
Supere las amenazas impulsadas por la IA con confianza cero: seminario web para profesionales de la seguridad
Las medidas de seguridad tradicionales no son suficientes en el mundo actual. Es hora de adoptar la seguridad Zero Trust. Proteja sus datos como nunca antes.
La empresa de ciberseguridad Adlumin, en un informe publicado el mes pasado, reveló que Play se ofrece a otros actores de amenazas «como un servicio», completando su transformación en una operación de ransomware como servicio (RaaS).
Los ataques de ransomware orquestados por el grupo se caracterizan por el uso de herramientas públicas y personalizadas como AdFind para ejecutar consultas de Active Directory, GMER, IOBit y PowerTool para desactivar el software antivirus, y Grixba para enumerar información de red y recopilar información sobre software de respaldo y control remoto. herramientas de administración instaladas en una máquina.
También se ha observado que los actores de amenazas llevan a cabo movimientos laterales y pasos de exfiltración y cifrado de datos, confiando en Cobalt Strike, SystemBC y Mimikatz para la post-explotación.
«El grupo de ransomware Play utiliza un modelo de doble extorsión, cifrando los sistemas después de extraer datos», dijeron las agencias. «Las notas de rescate no incluyen una demanda de rescate inicial ni instrucciones de pago; más bien, se indica a las víctimas que se comuniquen con los actores de la amenaza por correo electrónico».
Según las estadísticas recopiladas por MalwarebytesSe dice que Play se cobró casi 40 víctimas solo en noviembre de 2023, pero está muy por detrás de sus pares. BloquearBit y Gato negro (también conocido como ALPHV y Noberus).
La alerta llega días después de que las agencias gubernamentales de EE. UU. publicaran un boletín actualizado sobre el grupo Karakurt, conocido por evitar los ataques basados en cifrado en favor de la pura extorsión después de obtener acceso inicial a las redes mediante la compra de credenciales de inicio de sesión robadas, intermediarios de intrusión (también conocidos como intermediarios de acceso inicial). ), phishing y fallas de seguridad conocidas.
«Las víctimas de Karakurt no han informado sobre el cifrado de máquinas o archivos comprometidos; más bien, los actores de Karakurt han afirmado haber robado datos y amenazado con subastarlos o liberarlos al público a menos que reciban el pago del rescate exigido», dijo el gobierno. dicho.
Los acontecimientos también se producen en medio especulaciones que el ransomware BlackCat puede haber sido el objetivo de una operación policial después de que sus portales de filtración en la web oscura estuvieran fuera de línea durante cinco días. Sin embargo, el colectivo de delitos electrónicos atribuyó la interrupción a una falla de hardware.
Es más, otro grupo incipiente de ransomware conocido como NoEscape supuestamente tiene sacó una estafa de salidaefectivamente «robando los pagos de rescate y cerrando los paneles web y los sitios de fuga de datos del grupo», lo que llevó a otras pandillas como LockBit a reclutar a sus antiguos afiliados.
No es sorprendente que el panorama del ransomware evolucione y cambie constantemente, ya sea debido a la presión externa de las fuerzas del orden. Esto se evidencia aún más en la colaboración entre las bandas de ransomware BianLian, White Rabbit y Mario en una campaña de extorsión conjunta dirigida a empresas de servicios financieros que cotizan en bolsa.
«Estas campañas cooperativas de rescate son poco comunes, pero posiblemente se estén volviendo más comunes debido a la participación de corredores de acceso inicial (IAB) que colaboran con múltiples grupos en la web oscura», Resecurity dicho en un informe publicado la semana pasada.
«Otro factor que puede estar conduciendo a una mayor colaboración son las intervenciones policiales que crean redes de diáspora cibercriminal. Los participantes desplazados de estas redes de actores de amenazas pueden estar más dispuestos a colaborar con sus rivales».