Investigación Profunda de Grupos de RansomwareInvestigación 6 - Ransomware PlayRedes [email protected]://shows.acast.com/blueteam-sin-morir-en-el-intentohttps://linkedin.com/company/blue-team-smihttps://x.com/blueteam_smihttps://www.youtube.com/@BlueTeamSMIDonativohttps://buymeacoffee.com/btsmiIdentificaciónDesde junio de 2022, el grupo Play (alias Balloonfly, PlayCrypt) ha afectado a más de 950 organizaciones. Su método: robar datos antes de cifrarlos (extensión .PLAY), dejar nota de rescate y amenazar con filtrar la lista de víctimas en la red TOR.Origen y PerfilSe sospecha conexión con operadores rusos (Hive, Nokoyawa) por similitudes en cifrado e infraestructura, aunque sin atribución oficial. Emplean una única recompilación de binarios en cada ataque y comparten balizas de Cobalt Strike (watermark 206546002) para evadir detecciones.TTPs (MITRE ATT&CK)Acceso inicial: credenciales válidas (T1078), vulnerabilidades públicas (T1190) y RDP/VPN (T1133).Descubrimiento: escaneo de red (T1016) y detección de software de seguridad (T1518.001).Evasión: desactivación de herramientas (T1562.001) y borrado de logs (T1070.001).Credenciales: volcado de credenciales (T1003) y búsqueda en almacenamientos inseguros (T1552).Movimiento lateral: transferencia de herramientas (T1570) y PsExec.Comando y Control: modificación de políticas de dominio (T1484.001).Exfiltración: protocolos alternativos (T1048) via WinSCP/túneles C2.Impacto: cifrado AES-RSA (T1486) y doble extorsión (T1657).Flujo de AtaqueIngreso: cuentas legítimas o fallos en FortiOS, Exchange, SimpleHelp.Descubrimiento/Evasión: mapeo de red, desactivación de antivirus, borrado de logs.Escalada: despliegue de beacons C2, PsExec, Mimikatz, WinPEAS.Exfiltración & Cifrado: compresión/exfiltración (WinRAR/WinSCP), cifrado híbrido y renombrado a .PLAY.Extorsión: nota de rescate y amenaza de publicación en TOR.Modelo de NegocioRescates de US$ 250 000–2 000 000 (pueden llegar a 7–12 M en grandes víctimas), negociados luego hasta 50 000–100 000. Cobran en Bitcoin o Ethereum, cada víctima recibe cartera única tras contacto por correo o llamada.VictimologíaAfectados principalmente en servicios empresariales, manufactura, tecnología, agroalimentario y logística. Sectores geográficos: EE UU, Canadá, Reino Unido, Alemania, Francia, Australia, Argentina, Suiza, Corea del Sur y Sudáfrica.Contramedidas y DetecciónImplementar MFA, contraseñas fuertes y bloqueo de cuentas.Segmentar la red y filtrar accesos remotos.Mantener parches al día en FortiOS, Exchange y SimpleHelp.Monitorizar EDR/NDR para detectar movimientos laterales y uso anómalo de PowerShell/WinRM.Asegurar respaldos offline, cifrados e inmutables.URLShttps://www.ransomware.live/group/playhttps://www.cisa.gov/news-events/cybersecurity-advisories/aa23-352ahttps://unit42.paloaltonetworks.com/north-korean-threat-group-play-ransomware/https://blog.tecnetone.com/play-ransomware-ahora-como-servicio-comercial-para-hackershttps://www.virustotal.com/gui/file/7d14b98cdc1b898bd0d9be80398fc59ab560e8c44e0a9dedac8ad4ece3d450b0/behaviorhttps://unaaldia.hispasec.com/2024/11/ciberdelincuentes-norcoreanos-y-ransomware-play-nueva-amenaza.htmlCorreos del [email protected], [email protected], raniyumiamrm@gmx, derdiarikucisv@gmx Hosted on Acast. See acast.com/privacy for more information.

Ver todos los episodios