PLAY
PlayCrypt olarak da bilinen PLAY , yakın zamanda Hizmet Olarak Fidye Yazılımı (RaaS) modeline geçmesiyle birlikte artık dünya çapında Yönetilen Hizmet Sağlayıcılarını (MSP'ler) hedef alıyor ve 300'den fazla kuruluşu etkiledi.
Kökeni PLAY
Rusya bağlantılı siber suç örgütlerinin karakteristik şifreleme tekniklerini kullanmaları nedeniyle Rusya ile bağlantılı olduğundan şüphelenilen PLAY fidye yazılımı grubu, şifreleme faaliyetleri için ayırt edici bir '.play' dosya uzantısıyla 2022 yılında ortaya çıkmıştır.
PLAY Hive ve Nokayawa ile benzerlikler paylaşmaktadır. Dikkate değer bir ortaklık, Active Directory'den veri toplamak için tasarlanmış bir komut satırı yardımcı programı olan AdFind'ı kullanmaları ve benzer operasyonel davranışlarının altını çizmeleridir.
Kaynak Trend Micro ve OCD
Hedefler
PLAY'nin Hedefleri
Tarafından hedeflenen ülkeler PLAY
Siber saldırılarını öncelikle Almanya'da yoğunlaştıran grup, erişim alanını ABD, Brezilya, Arjantin, Portekiz, Belçika ve İsviçre'deki taviz hedeflerine kadar genişletti.
Kaynak Trend Micro
Hedeflediği Sektörler PLAY
PLAY'nin faaliyetleri ağırlıklı olarak telekomüni̇kasyon ve sağlık hizmetleri Medya/İletişim, Taşımacılık, İnşaat ve Enerji sektörlerindeki kuruluşları da ihmal etmedi. Hükümet sektörler.
Kaynak Trend Micro
Hedeflediği Sektörler PLAY
PLAY'nin faaliyetleri ağırlıklı olarak telekomüni̇kasyon ve sağlık hizmetleri Medya/İletişim, Taşımacılık, İnşaat ve Enerji sektörlerindeki kuruluşları da ihmal etmedi. Hükümet sektörler.
Kaynak Trend Micro
PLAY'ın Kurbanları
Bugüne kadar 436'dan fazla kurban kötü niyetli faaliyetlerinin kurbanı oldu.
Kaynak: ransomware.live
Saldırı Yöntemi
PLAY'in Saldırı Yöntemi
PLAY yasal hesapları kullanarak erişim elde eder ve FortiOS ve Microsoft Exchange'deki güvenlik açıklarından yararlanır.
PLAY Mimikatz gibi araçları kullanarak ayrıcalıkları artırır ve kullanıcıları yönetici gruplarına ekler.
PLAY antivirüs programlarını devre dışı bırakarak, günlükleri silerek ve aralıklı şifreleme kullanarak savunmadan kaçar.
PLAY kimlik bilgilerini dökmek için Mimikatz kullanır, Cobalt Strike ve Empirer'in modülü olarak çalıştırılır.
PLAY AdFind ve Bloodhound kullanarak Active Directory sorguları ve Grixba ile ağ numaralandırması yapar.
PLAY Cobalt Strike ve SystemBC kullanarak yanal olarak yayılır ve Grup İlkesi Nesneleri aracılığıyla dosyaları yürütür.
PLAY Empire, System BC, Cobalt Strike, PsExec ve yürütme için toplu iş dosyalarını dağıtır.
Sızma ve şifreleme için PLAY verileri bölümlere ayırır, WinRAR ve WinSCP kullanır ve '.play' uzantılı AES-RSA hibrit şifreleme kullanır.
Çifte şantaj taktikleriyle sistemleri etkileyen PLAY , kripto para fidyeleri talep ediyor ve ödenmemesi halinde veri sızıntısı tehdidinde bulunuyor.
İlk Erişim
PLAY yasal hesapları kullanarak erişim elde eder ve FortiOS ve Microsoft Exchange'deki güvenlik açıklarından yararlanır.
Ayrıcalık Yükseltme
PLAY Mimikatz gibi araçları kullanarak ayrıcalıkları artırır ve kullanıcıları yönetici gruplarına ekler.
Savunma Kaçırma
PLAY antivirüs programlarını devre dışı bırakarak, günlükleri silerek ve aralıklı şifreleme kullanarak savunmadan kaçar.
Kimlik Bilgileri Erişimi
PLAY kimlik bilgilerini dökmek için Mimikatz kullanır, Cobalt Strike ve Empirer'in modülü olarak çalıştırılır.
Keşif
PLAY AdFind ve Bloodhound kullanarak Active Directory sorguları ve Grixba ile ağ numaralandırması yapar.
Yanal Hareket
PLAY Cobalt Strike ve SystemBC kullanarak yanal olarak yayılır ve Grup İlkesi Nesneleri aracılığıyla dosyaları yürütür.
Koleksiyon
Yürütme
PLAY Empire, System BC, Cobalt Strike, PsExec ve yürütme için toplu iş dosyalarını dağıtır.
Sızma
Sızma ve şifreleme için PLAY verileri bölümlere ayırır, WinRAR ve WinSCP kullanır ve '.play' uzantılı AES-RSA hibrit şifreleme kullanır.
Etki
Çifte şantaj taktikleriyle sistemleri etkileyen PLAY , kripto para fidyeleri talep ediyor ve ödenmemesi halinde veri sızıntısı tehdidinde bulunuyor.
MITRE ATT&CK Haritalama
Tarafından kullanılan TTP'ler PLAY
PLAY Stratejik olarak yedekleme sistemlerine saldırarak kurbanları alternatif veri kurtarma seçeneklerinden yoksun bırakır ve yedekleme yeteneklerini ortadan kaldırmak için titiz stratejiler uygular.
TA0001: Initial Access
T1190
Exploit Public-Facing Application
T1133
External Remote Services
T1078
Valid Accounts
TA0002: Execution
No items found.
TA0003: Persistence
T1078
Valid Accounts
TA0004: Privilege Escalation
T1484
Group Policy Modification
T1078
Valid Accounts
TA0005: Defense Evasion
T1070
Indicator Removal
T1562
Impair Defenses
T1484
Group Policy Modification
T1078
Valid Accounts
TA0006: Credential Access
T1552
Unsecured Credentials
T1003
OS Credential Dumping
TA0007: Discovery
T1518
Software Discovery
T1016
System Network Configuration Discovery
TA0008: Lateral Movement
T1570
Lateral Tool Transfer
TA0009: Collection
T1560
Archive Collected Data
TA0011: Command and Control
No items found.
TA0010: Exfiltration
T1048
Exfiltration Over Alternative Protocol
TA0040: Impact
T1657
Financial Theft
T1486
Data Encrypted for Impact
Platform Tespitleri
PLAY ile Nasıl Tespit Edilir? Vectra AI
Vectra AI Platformunda bulunan ve bir fidye yazılımı saldırısına işaret edebilecek Tespitlerin listesi.
Sıkça Sorulan Sorular
PLAY Fidye Yazılımı Grubu nedir?
PLAY Ransomware Group, kurbanların dosyalarını şifrelemek için fidye yazılımı dağıtmasıyla bilinen ve şifre çözme anahtarları için fidye ödemeleri talep eden bir siber suç örgütüdür. Genellikle zayıf güvenlik duruşuna sahip kuruluşları hedef alırlar.
PLAY fidye yazılımı sistemlere nasıl bulaşır?
PLAY fidye yazılımları genellikle phishing e-postaları, istismar kitleri ve tehlikeye atılmış kimlik bilgileri aracılığıyla sistemlere bulaşır, erişim sağlamak ve yüklerini dağıtmak için güvenlik açıklarından yararlanır.
PLAY fidye yazılımı saldırılarından en çok hangi sektörler risk altında?
PLAY fidye yazılımı çok çeşitli sektörleri hedef almış olsa da, kritik altyapı, sağlık hizmetleri ve finansal hizmetler, verilerinin hassas yapısı nedeniyle özellikle savunmasız kalmıştır.
PLAY fidye yazılımı ile ilişkili taviz (IoC'ler) göstergeleri nelerdir?
PLAY fidye yazılımı için IoC'ler arasında olağandışı ağ trafiği, şüpheli kayıt defteri anahtarı değişiklikleri, fidye notları ve malware ile ilgili dosya uzantıları bulunur.
SOC ekipleri PLAY fidye yazılımını nasıl tespit edebilir ve müdahale edebilir?
SOC ekipleri gelişmiş tehdit tespit çözümleri kullanmalı, düzenli ağ trafiği analizi yapmalı ve tehdit tespit ve müdahale sistemleri uygulamalıdır. Virüs bulaşmış sistemlerin derhal izole edilmesi ve bir müdahale planının yürütülmesi çok önemlidir.
PLAY fidye yazılımı bulaşmalarını önlemek için en iyi uygulamalar nelerdir?
En iyi uygulamalar arasında düzenli yazılım güncellemeleri, çalışanların siber güvenlik farkındalık eğitimi, sağlam e-posta filtreleme ve phishing ve kimlik bilgilerine karşı koruma sağlamak için çok faktörlü kimlik doğrulama (MFA) kullanımı yer almaktadır taviz.
PLAY fidye yazılımı tarafından şifrelenen verilerin şifresi fidye ödenmeden çözülebilir mi?
PLAY fidye yazılımı için özel şifre çözme araçları her zaman mevcut olmayabilir, ancak fidye ödemelerini düşünmeden önce siber güvenlik uzmanlarına danışılması ve benzer fidye yazılımı türevleri için mevcut şifre çözme araçlarının araştırılması tavsiye edilir.
PLAY fidye yazılımı grubu finansal olarak nasıl işliyor?
PLAY grubu, genellikle kripto para birimleriyle ödeme talep eden bir fidye modeliyle çalışır. Ayrıca fidye ödenmediği takdirde çalınan verileri sızdırmakla tehdit ederek çifte şantaj taktikleri de uygulayabilirler.
PLAY fidye yazılımı saldırısı için bir müdahale planına neler dahil edilmelidir?
Bir müdahale planı, etkilenen sistemlerin derhal izole edilmesini, fidye yazılımı türünün tanımlanmasını, iletişim protokollerini, yedeklerden veri kurtarma prosedürlerini ve fidye ödemeleri için yasal hususları içermelidir.
Kuruluşlar PLAY fidye yazılımı saldırısının ardından kolluk kuvvetleriyle nasıl işbirliği yapabilir?
Kuruluşlar olayı yerel veya ulusal siber güvenlik yetkililerine bildirmeli, devam eden operasyonları veya veri gizliliği yasalarını tehlikeye atmadan saldırı hakkında ayrıntılı bilgi vermelidir.