Se estima que los actores de amenazas detrás del ransomware Play han afectado a aproximadamente 300 entidades en octubre de 2023, según un nuevo aviso conjunto de ciberseguridad de Australia y EE. UU.
«Los actores del ransomware Play emplean un modelo de doble extorsión, cifrando sistemas después de exfiltrar datos y han impactado a una amplia gama de empresas y organizaciones de infraestructura crítica en América del Norte, América del Sur, Europa y Australia», afirma. autoridades dijeron.
Play, también llamado Balloonfly y PlayCrypt, surgió en 2022, explotando fallas de seguridad en los servidores Microsoft Exchange (CVE-2022-41040 y CVE-2022-41082) y dispositivos Fortinet (CVE-2018-13379 y CVE-2020-12812) para violar las empresas. e implementar malware de cifrado de archivos.
Vale la pena señalar que los ataques de ransomware explotan cada vez más las vulnerabilidades en lugar de utilizar correos electrónicos de phishing como vectores de infección iniciales, pasando de casi cero en la segunda mitad de 2022 a casi un tercio en la primera mitad de 2023. , según datos de Corvus.
Según una empresa de ciberseguridad
La empresa de ciberseguridad Adlumin, en un informe publicado el mes pasado, reveló que Play se ofrece a otros actores de amenazas «como un servicio». » completando su transformación en una operación de ransomware como servicio (RaaS).
Los ataques de ransomware orquestados por el grupo se caracterizan por el uso de herramientas públicas y personalizadas como AdFind para ejecutar consultas de Active Directory, GMER, IOBit y PowerTool para desactivar el software antivirus, y Grixba para enumerar información de red y recopilar información sobre software de respaldo y herramientas de administración remota instaladas en una máquina.
También se ha observado que los actores de amenazas llevan a cabo movimientos laterales y pasos de cifrado y exfiltración de datos, confiando en Cobalt Strike, y Mimikatz para la post-explotación.SystemBC
«El grupo de ransomware Play utiliza un modelo de doble extorsión, cifrando los sistemas después de extraer datos», afirma. dijeron las agencias. «Las notas de rescate no incluyen una demanda inicial de rescate ni instrucciones de pago; más bien, se indica a las víctimas que se comuniquen con los actores de la amenaza por correo electrónico».
40 víctimas solo en noviembre
Según las estadísticas compiladas por Malwarebytes, se dice que Play se cobró casi 40 víctimas solo en noviembre de 2023, pero está muy por detrás de sus pares. LockBit y BlackCat (también conocidos como ALPHV y Noberus).
La alerta llega días después de que las agencias gubernamentales de EE. UU. publicaran un boletín actualizado sobre el grupo Karakurt, conocido por evitar los ataques basados en cifrado en favor de la pura extorsión después de obtener acceso inicial a las redes mediante la compra de credenciales de inicio de sesión robadas, corredores de intrusión (también conocidos como corredores de acceso inicial). ), phishing y fallas de seguridad conocidas.
«Las víctimas de Karakurt no han informado sobre el cifrado de máquinas o archivos comprometidos; más bien, los actores de Karakurt afirmaron haber robado datos y amenazaron con subastarlos o divulgarlos al público a menos que reciban el pago del rescate exigido». el gobierno dijo.
Acontecimientos y especulaciones
Los acontecimientos también se producen en medio de especulaciones de que el ransomware BlackCat puede haber sido el objetivo de una operación policial después de que sus portales de filtración en la web oscura desaparecieran. sin conexión durante cinco días. Sin embargo, el colectivo de delitos electrónicos atribuyó la interrupción a una falla de hardware.
Es más, otro grupo de ransomware incipiente conocido como NoEscape supuestamente tiene realizó una estafa de salida, efectivamente «robando los pagos del rescate y cerrando los paneles web y los sitios de fuga de datos del grupo», afirmó. lo que llevó a otras pandillas como LockBit a reclutar a sus antiguos afiliados.
No es sorprendente que el panorama del ransomware evolucione y cambie constantemente, ya sea debido a la presión externa de las fuerzas del orden. Esto se evidencia aún más en la colaboración entre las bandas de ransomware BianLian, White Rabbit y Mario en una campaña de extorsión conjunta dirigida a empresas de servicios financieros que cotizan en bolsa.
«Estas campañas cooperativas de rescate son poco comunes, pero posiblemente se estén volviendo más comunes debido a la participación de corredores de acceso inicial (IAB) que colaboran con múltiples grupos en la web oscura», dijo. Resecurity dijo en un informe publicado la semana pasada.
«Otro factor que puede estar conduciendo a una mayor colaboración son las intervenciones policiales que crean redes de diáspora cibercriminal. Los participantes desplazados de estas redes de actores de amenazas pueden estar más dispuestos a colaborar con sus rivales”.
¿Has encontrado a este artículo interesante? Puedes seguirnos en Facebook , Twitter y LinkedIn para leer más contenido que publicamos o contáctanos.