PLAY
PlayCrypt olarak da bilinen PLAY , yakın zamanda Hizmet Olarak Fidye Yazılımı (RaaS) modeline geçmesiyle birlikte artık dünya çapında Yönetilen Hizmet Sağlayıcılarını (MSP'ler) hedef alıyor ve 300'den fazla kuruluşu etkiledi.
Kökeni PLAY
Rusya bağlantılı siber suç örgütlerinin karakteristik şifreleme tekniklerini kullanmaları nedeniyle Rusya ile bağlantılı olduğundan şüphelenilen PLAY fidye yazılımı grubu, şifreleme faaliyetleri için ayırt edici bir '.play' dosya uzantısıyla 2022 yılında ortaya çıkmıştır.
PLAY Hive ve Nokayawa ile benzerlikler paylaşmaktadır. Dikkate değer bir ortaklık, Active Directory'den veri toplamak için tasarlanmış bir komut satırı yardımcı programı olan AdFind'ı kullanmaları ve benzer operasyonel davranışlarının altını çizmeleridir.
Tarafından hedeflenen ülkeler PLAY
Başlangıçta siber saldırılarını Almanya ve Avrupa'da yoğunlaştıran grup, o zamandan bu yana ABD, Brezilya, Arjantin, Meksika ve Avustralya'daki taviz hedeflerine ulaştı.
Hedeflediği Sektörler PLAY
PLAY'nin faaliyetleri ağırlıklı olarak telekomüni̇kasyon ve sağlık hizmetleri Medya/İletişim, Taşımacılık, İnşaat ve Enerji sektörlerindeki kuruluşları da ihmal etmedi. Hükümet sektörler.
Kaynak Trend Micro
PLAY'ın Kurbanları
Bugüne kadar 814'ten fazla kurban kötü niyetli faaliyetlerinin kurbanı oldu.
PLAY'in Saldırı Yöntemi
PLAY yasal hesapları kullanarak erişim elde eder ve FortiOS ve Microsoft Exchange'deki güvenlik açıklarından yararlanır.
PLAY Mimikatz gibi araçları kullanarak ayrıcalıkları artırır ve kullanıcıları yönetici gruplarına ekler.
PLAY antivirüs programlarını devre dışı bırakarak, günlükleri silerek ve aralıklı şifreleme kullanarak savunmadan kaçar.
PLAY kimlik bilgilerini dökmek için Mimikatz kullanır, Cobalt Strike ve Empirer'in modülü olarak çalıştırılır.
PLAY AdFind ve Bloodhound kullanarak Active Directory sorguları ve Grixba ile ağ numaralandırması yapar.
PLAY Cobalt Strike ve SystemBC kullanarak yanal olarak yayılır ve Grup İlkesi Nesneleri aracılığıyla dosyaları yürütür.
PLAY Empire, System BC, Cobalt Strike, PsExec ve yürütme için toplu iş dosyalarını dağıtır.
Sızma ve şifreleme için PLAY verileri bölümlere ayırır, WinRAR ve WinSCP kullanır ve '.play' uzantılı AES-RSA hibrit şifreleme kullanır.
Çifte şantaj taktikleriyle sistemleri etkileyen PLAY , kripto para fidyeleri talep ediyor ve ödenmemesi halinde veri sızıntısı tehdidinde bulunuyor.
PLAY yasal hesapları kullanarak erişim elde eder ve FortiOS ve Microsoft Exchange'deki güvenlik açıklarından yararlanır.
PLAY Mimikatz gibi araçları kullanarak ayrıcalıkları artırır ve kullanıcıları yönetici gruplarına ekler.
PLAY antivirüs programlarını devre dışı bırakarak, günlükleri silerek ve aralıklı şifreleme kullanarak savunmadan kaçar.
PLAY kimlik bilgilerini dökmek için Mimikatz kullanır, Cobalt Strike ve Empirer'in modülü olarak çalıştırılır.
PLAY AdFind ve Bloodhound kullanarak Active Directory sorguları ve Grixba ile ağ numaralandırması yapar.
PLAY Cobalt Strike ve SystemBC kullanarak yanal olarak yayılır ve Grup İlkesi Nesneleri aracılığıyla dosyaları yürütür.
PLAY Empire, System BC, Cobalt Strike, PsExec ve yürütme için toplu iş dosyalarını dağıtır.
Sızma ve şifreleme için PLAY verileri bölümlere ayırır, WinRAR ve WinSCP kullanır ve '.play' uzantılı AES-RSA hibrit şifreleme kullanır.
Çifte şantaj taktikleriyle sistemleri etkileyen PLAY , kripto para fidyeleri talep ediyor ve ödenmemesi halinde veri sızıntısı tehdidinde bulunuyor.
Tarafından kullanılan TTP'ler PLAY
PLAY ile Nasıl Tespit Edilir? Vectra AI
Vectra AI Platformunda bulunan ve bir fidye yazılımı saldırısına işaret edebilecek Tespitlerin listesi.
Sıkça Sorulan Sorular
PLAY Fidye Yazılımı Grubu nedir?
PLAY Ransomware Group, kurbanların dosyalarını şifrelemek için fidye yazılımı dağıtmasıyla bilinen ve şifre çözme anahtarları için fidye ödemeleri talep eden bir siber suç örgütüdür. Genellikle zayıf güvenlik duruşuna sahip kuruluşları hedef alırlar.
PLAY fidye yazılımı sistemlere nasıl bulaşır?
PLAY fidye yazılımları genellikle phishing e-postaları, istismar kitleri ve tehlikeye atılmış kimlik bilgileri aracılığıyla sistemlere bulaşır, erişim sağlamak ve yüklerini dağıtmak için güvenlik açıklarından yararlanır.
PLAY fidye yazılımı saldırılarından en çok hangi sektörler risk altında?
PLAY fidye yazılımı çok çeşitli sektörleri hedef almış olsa da, kritik altyapı, sağlık hizmetleri ve finansal hizmetler, verilerinin hassas yapısı nedeniyle özellikle savunmasız kalmıştır.
PLAY fidye yazılımı ile ilişkili taviz (IoC'ler) göstergeleri nelerdir?
PLAY fidye yazılımı için IoC'ler arasında olağandışı ağ trafiği, şüpheli kayıt defteri anahtarı değişiklikleri, fidye notları ve malware ile ilgili dosya uzantıları bulunur.
SOC ekipleri PLAY fidye yazılımını nasıl tespit edebilir ve müdahale edebilir?
SOC ekipleri gelişmiş tehdit tespit çözümleri kullanmalı, düzenli ağ trafiği analizi yapmalı ve tehdit tespit ve müdahale sistemleri uygulamalıdır. Virüs bulaşmış sistemlerin derhal izole edilmesi ve bir müdahale planının yürütülmesi çok önemlidir.
PLAY fidye yazılımı bulaşmalarını önlemek için en iyi uygulamalar nelerdir?
En iyi uygulamalar arasında düzenli yazılım güncellemeleri, çalışanların siber güvenlik farkındalık eğitimi, sağlam e-posta filtreleme ve phishing ve kimlik bilgilerine karşı koruma sağlamak için çok faktörlü kimlik doğrulama (MFA) kullanımı yer almaktadır taviz.
PLAY fidye yazılımı tarafından şifrelenen verilerin şifresi fidye ödenmeden çözülebilir mi?
PLAY fidye yazılımı için özel şifre çözme araçları her zaman mevcut olmayabilir, ancak fidye ödemelerini düşünmeden önce siber güvenlik uzmanlarına danışılması ve benzer fidye yazılımı türevleri için mevcut şifre çözme araçlarının araştırılması tavsiye edilir.
PLAY fidye yazılımı grubu finansal olarak nasıl işliyor?
PLAY grubu, genellikle kripto para birimleriyle ödeme talep eden bir fidye modeliyle çalışır. Ayrıca fidye ödenmediği takdirde çalınan verileri sızdırmakla tehdit ederek çifte şantaj taktikleri de uygulayabilirler.
PLAY fidye yazılımı saldırısı için bir müdahale planına neler dahil edilmelidir?
Bir müdahale planı, etkilenen sistemlerin derhal izole edilmesini, fidye yazılımı türünün tanımlanmasını, iletişim protokollerini, yedeklerden veri kurtarma prosedürlerini ve fidye ödemeleri için yasal hususları içermelidir.
Kuruluşlar PLAY fidye yazılımı saldırısının ardından kolluk kuvvetleriyle nasıl işbirliği yapabilir?
Kuruluşlar olayı yerel veya ulusal siber güvenlik yetkililerine bildirmeli, devam eden operasyonları veya veri gizliliği yasalarını tehlikeye atmadan saldırı hakkında ayrıntılı bilgi vermelidir.