Detección de Ransomware Play: Ataques Continuos de Ransomware contra Negocios e Infraestructuras Críticas en EE. UU., Sudamérica, y Europa
Tabla de contenidos:
A finales de noviembre de 2023, las principales agencias de ciberseguridad de EE. UU., en colaboración con socios internacionales, emitieron una alerta sobre ataques de ransomware LockBit 3.0 como parte de su esfuerzo #StopRansomware destinado a aumentar la concienciación sobre ciberseguridad. Recientemente, se emitió otro Consejo Conjunto de Ciberseguridad con el objetivo de notificar a los defensores sobre los ataques en curso por parte del grupo de ransomware Play. En esta alerta, AA23-352A, el FBI, CISA y el Centro Australiano de Ciberseguridad de la Dirección Australiana de Señales (ACSC de ASD) arrojaron luz sobre la actividad maliciosa de los operadores de ransomware Play que se cree que han comprometido al menos a 300 entidades a lo largo de sus ataques dirigidos.
Detección de Ataques de Ransomware Play
Con tácticas, técnicas y procedimientos más avanzados aprovechados por los operadores de ransomware, los profesionales de la ciberseguridad requieren una fuente confiable de contenido de detección para superar a los adversarios y detectar ataques en las primeras etapas posibles. La Plataforma SOC Prime para defensa cibernética colectiva agrega un conjunto de algoritmos de detección que ayudan a identificar herramientas típicamente utilizadas por los mantenedores de ransomware Play y actividad maliciosa que lleva a una posible infección.
La colección de 20 reglas Sigma adaptadas para la detección de ransomware Play es compatible con 28 soluciones SIEM, EDR, EDR y Data Lake. Todas las reglas están mapeadas al marco MITRE ATT&CK® y enriquecidas con metadatos extensos, incluidos enlaces CTI, líneas de tiempo de ataque, recomendaciones de triaje, etc. Solo presione el botón Explorar Detecciones a continuación y profundice en un lote de detecciones seleccionadas para optimizar su investigación de amenazas.
Además, los defensores también pueden confiar en algoritmos de detección para ProxyNotShell vulnerabilidades en Microsoft Exchange Server (CVE-2022-41040 and CVE-2022-41082) que son aprovechados por los actores de ransomware Play en la etapa de acceso inicial.
Análisis del Ataque de Ransomware Play
El 18 de diciembre de 2023, el FBI, CISA y la ACSC de ASD emitieron una nueva alerta que cubre las operaciones ofensivas en curso por parte del grupo de ransomware Play, también conocido como Playcrypt.
Desde el verano de 2022, los operadores de ransomware Playcrypt han apuntado a múltiples negocios e infraestructuras críticas en EE. UU., América del Sur y Europa. En octubre de 2023, el FBI descubrió aproximadamente 300 entidades afectadas por los ataques de ransomware del grupo. En Australia, el ransomware Play fue identificado por primera vez a mediados de la primavera de 2023.
El grupo de ransomware Play pertenece a una unidad ofensiva altamente confidencial que emplea un modelo de doble extorsión. Los adversarios cifran sistemas y realizan exfiltración de datos antes de enviar notas de rescate. Estas últimas no proporcionan directrices de pago directamente. Los operadores de ransomware Play prefieren una forma más encubierta de comunicación al instar a sus víctimas a contactarlos por correo electrónico. Los pagos por el rescate se exigen en criptomonedas y deben enviarse a las direcciones de billetera especificadas por los actores de Play. En caso de que una víctima se niegue a pagar el rescate, los adversarios los amenazan con divulgar los datos exfiltrados en su sitio de filtraciones en la red Tor.
Como medidas de mitigación, los defensores recomiendan seguir las mejores prácticas de seguridad, como implementar la autenticación multifactor, crear regularmente copias de seguridad fuera de línea de los datos, establecer un plan de recuperación integral y asegurarse de que el sistema y el software estén siempre actualizados confiando en el parcheo regular.
Los operadores de ransomware Play suelen obtener acceso inicial abusando de cuentas legítimas y explotando vulnerabilidades en instancias expuestas al público, especialmente enfocándose en FortiOS (CVE-2018-13379 y CVE-2020-12812) y explotaciones de vulnerabilidad ProxyNotShell. Además, aprovechan RDP y VPN en la fase de acceso inicial. vulnerability exploits. Also, they take advantage of RDP and VPN at the initial access phase.
Para evadir la detección, el grupo de ransomware Play aplica una utilidad de AdFind y un info-stealer Grixba, así como PowerTool para deshabilitar el software antivirus y eliminar archivos de registro. Para facilitar el movimiento lateral y la ejecución de archivos, los adversarios aprovechan aplicaciones C2, como Cobalt Strike y SystemBC, junto con utilidades como PsExec. Además, emplean el dumper de credenciales Mimikatz para adquirir acceso de administrador de dominio. Las crecientes volúmenes de ataques complejos atribuidos al grupo de ransomware Play requieren de una ultra-respuesta de las fuerzas defensivas para priorizar la remediación de las amenazas. Inicie sesión en la Plataforma SOC Prime para equipar a su equipo con más de
The increasing volumes of tricky attacks attributed to the Play ransomware group require ultra-responsiveness from the defensive forces to prioritize remediating the threats. Log in to SOC Prime Platform to equip your team with over 900 piezas de contenido de detección para una defensa cibernética proactiva contra ataques críticos de ransomware de cualquier sofisticación.