PLAY

Fidye yazılımı operatörleri genellikle dark web pazarlarından satın alınmış geçerli kimlik bilgileriyle oturum açarak işe başlar. Bu kimlik bilgileri genellikle VPN'ler veya Uzak Masaüstü Protokolü (RDP) gibi uzaktan erişim hizmetlerine bağlıdır. Kimlik bilgileri mevcut olmadığında, internete dönük uygulamalardaki güvenlik açıklarından yararlanırlar. Bilinen giriş noktaları arasında Fortinet FortiOS ve Microsoft Exchange sunucularındaki açıklar (ProxyNotShell gibi) bulunmaktadır. 2025'in başlarında, onlar ve bağlı erişim aracıları, uzaktan kod çalıştırmak ve sessizce dahili sistemlere erişim sağlamak için SimpleHelp uzaktan izleme aracındaki yeni açıklanan bir güvenlik açığından yararlanmaya başladılar.

Play aktörleri içeri girdikten sonra, yanlış yapılandırmaları veya yazılım zayıflıklarını tespit ederek ayrıcalıklarını yükseltirler. Yerel ayrıcalık yükseltme fırsatlarını listelemek için WinPEAS gibi araçlar kullanırlar ve genellikle bunları doğrudan kullanmaya yönelirler. Gözlemlenen birçok olayda, aktörler erişimlerini artırmak için Nekto veya PriviCMD gibi araçlar da kullanmaktadır. Nihayetinde amaçları, ortamı tamamen kontrol edebilmek ve fidye yazılımı yüklerini geniş çaplı olarak gönderebilmek için etki alanı yöneticisi ayrıcalıkları elde etmektir.

Saldırganlar tespit edilmekten kaçınmak için güvenlik yazılımlarını sistematik olarak devre dışı bırakıyor. GMER, IOBit ve PowerTool gibi araçlar antivirüs işlemlerini öldürmek için kullanılırken, PowerShell komut dosyaları Microsoft Defender'ı devre dışı bırakmak için kullanılır. Ayrıca Windows Olay Günlüklerinden günlükleri ve diğer adli eserleri silerek savunucuların etkinliklerini tespit etme veya izinsiz giriş zaman çizelgelerini yeniden oluşturma şansını azaltırlar.

Play fidye yazılımı aktörleri, tehlikeye atılmış ortamlarda aktif olarak kimlik bilgilerini arar. Saklanan kimlik bilgilerini çıkarmak için güvenli olmayan dosyaları ve yapılandırma verilerini tararlar ve mümkün olduğunda, kimlik doğrulama bilgilerini doğrudan bellekten dökmek için Mimikatz 'ı dağıtırlar. Bu araç bazen aşağıdaki gibi platformlar aracılığıyla yürütülür Cobalt StrikeBu da saldırganların geleneksel uyarıları tetiklemeden etki alanı yöneticisi kimlik bilgilerini toplamasına olanak tanır.

Keşif aşamasında, Play operatörleri ağ düzenini anlamak ve değerli hedefleri belirlemek için dahili keşif yapar. Active Directory yapılarını numaralandırmak, ana bilgisayar adlarını listelemek ve uç nokta koruma araçları da dahil olmak üzere yüklü yazılımları tanımlamak için AdFind ve Grixba gibi araçlar kullanırlar. Bu keşif, yanal hareketlerini yönlendirmelerine ve yüksek sürtünmeli güvenlik bölgelerinden kaçınmalarına yardımcı olur.

Aktörler ağ üzerinde hareket etmek için PsExec gibi yanal hareket araçlarını kullanarak komutları uzaktan yürütüyor. Ayrıca, aşağıdaki gibi sömürü sonrası çerçeveleri de kullanırlar Cobalt Strike ve SystemBC 'yi ek makineler üzerinde komuta ve kontrol sağlamak için kullanabilirler. Etki alanı düzeyinde erişim sağlandıktan sonra, Grup İlkesi Nesneleri aracılığıyla yükleri dağıtarak fidye yazılımı ikili dosyalarını sistemlere toplu olarak etkili bir şekilde gönderebilirler.

Verileri şifrelemeden önce, Play operatörleri dosyaları sızıntı için hazırlar. Genellikle çalınan verileri daha küçük parçalara böler ve bunları .RAR kullanarak arşivler WinRAR. Bu adım, verilerin aktarıma hazır olmasını sağlar ve yapısı veri kaybı önleme (DLP) araçlarını veya uç nokta uyarılarını tetikleme olasılığını azaltır.

Yürütme, manuel kontrol ve otomatik dağıtımın bir kombinasyonu yoluyla gerçekleştirilir. Fidye yazılımı ikili dosyaları genellikle PsExec, Cobalt Strike veya Grup İlkesi değişiklikleri yoluyla teslim edilir ve yürütülür. Her ikili dosya hedef ortam için benzersiz bir şekilde derlenir, bu da imza tabanlı antivirüs tespitini atlatmaya yardımcı olur. Yürütüldüğünde, fidye yazılımı dosyaları şifrelemeye başlarken, fidye talepleri verilene kadar operasyonel çalışma süresini korumak için sistem dosyalarını atlar.

Veriler sahnelendikten sonra, Play aktörleri çalınan verileri şifreli kanallar üzerinden altyapılarına güvenli bir şekilde iletmek için WinSCP gibi araçlar kullanır. Bu dosyalar genellikle kurbanın etki alanı dışında barındırılan saldırgan kontrolündeki ortamlarda saklanır. Grup, trafik izleme çözümlerinden kaçmak ve şifreleme başlamadan önce veri çıkarma hızını en üst düzeye çıkarmak için birden fazla aktarım yöntemi kullanır.

‍

Play fidye yazılımı bir çi̇fte gasp model: verileri çaldıktan sonra, kurbanın dosyalarını şifreler ve genellikle @gmx.de veya @web.de'deki benzersiz adreslere bağlı e-posta iletişimleri yoluyla ödeme talep ederler. Şifrelenmiş dosyalar bir PLAY uzantılı bir fidye notu herkese açık dizinlere bırakılır. Ödeme yapılmazsa, grup çalınan verileri Tor'da barındırılan bir sızıntı sitesine sızdırmakla tehdit ediyor. Bazı durumlarda, açık kaynak istihbaratı yoluyla bulunan yardım masaları veya müşteri hizmetleri hatları gibi kuruluşların telefon numaralarını arayarak baskıyı yoğunlaştırırlar.