Agências governamentais lançam alerta sobre técnicas de grupo de ransomware Play

Várias agências governamentais, entre elas a CISA, o FBI e o Australian Cyber Security Centre, alertaram para as táticas, técnicas e procedimentos associados aos ataques de ransomware Play, também conhecido como Playcrypt.

Ativo desde junho de 2022, o ransomware foi responsável por 300 vítimas em outubro passado e, após uma análise da ‘SecurityWeek’, foram descobertas outras 100 vítimas adicionadas nos dois últimos meses ao site de divulgação de dados do grupo.

O ransomware Play está envolvido em táticas de extorsão dupla, com a criptografia de sistemas e exfiltração de dados das vítimas, exigindo o pagamento de um resgate de forma a evitar a divulgação pública dos dados. 

O grupo começa por explorar vulnerabilidades do FortiOS e do Microsoft Exchange, assim como credenciais válidas. De seguida, o grupo recorre a ferramentas para a descobrir o Active Directory, a enumeração de rede, identificação e desativação de software, recolha de credenciais, descoberta de vulnerabilidades, etc.

De seguida recolhe os dados da vítima, divide em segmentos e exfiltra-os para o servidor de comando e controlo compactado. Os sistemas comprometidos são criptografados com recurso à criptografia híbrida AES-RSA e as vítimas são instruídas a entrar em contacto com o grupo através de um endereço de email para pagar um pedido de resgate em criptomoedas.

Os organismos governamentais fornecem no comunicado emitido indicadores de comprometimento associados a estes ataques, assim como as diferentes etapas de mitigação recomendadas, onde é possível encontrar um plano de recuperação, utilização de métodos fortes de autenticação, atualização de sistemas e aplicações, utilização de soluções, monitorização de atividades suspeitas na rede e melhoria ao nível das proteções de email.

É ainda recomendado que as empresas testem e validem os seus programas de segurança contra comportamentos de ameaças mapeados para a estrutura MITRE ATT&CK for Enterprise.