O FBI divulgou um boletim em colaboração com a CISA e o Centro Australiano de Segurança Cibernética alertando que o grupo de ransomware Play já comprometeu cerca de 900 organizações até maio de 2025, afetando inclusive empresas de setores considerados críticos.
Esse número representa o triplo das vítimas inicialmente reportadas em outubro de 2023.
Em destaque também, o crescimento alarmante de ataques de phishing, que registraram um aumento de 466%.
Além disso, foi identificado um pacote malicioso no PyPi capaz de roubar credenciais de desenvolvedores.
Conforme o alerta, o grupo criminoso, conhecido também por Playcrypt, tem recorrido a variantes modificadas de malware em seus ataques, o que tem dificultado sua detecção pelas ferramentas de segurança.
Existem relatos de que algumas vítimas receberam ameaças telefônicas para o pagamento do resgate, sob a ameaça de divulgação de seus dados.
Os criminosos utilizaram vulnerabilidades recentes (CVE-2024-57726, CVE-2024-57727 e CVE-2024-57728) em sistemas de gerenciamento remoto, como o SimpleHelp RMM, para sua atividade maliciosa.
Em um desses ataques, os invasores chegaram a criar contas de administrador no sistema da vítima e instalar backdoors utilizando Sliver beacons, indicando uma preparação para ataques mais complexos no futuro.
Funcionando no modelo de ransomware como um serviço (RaaS), o Play se dedica ao roubo de documentos antes de proceder com a criptografia dos sistemas atacados, conduzindo a negociação do resgate via e-mail, sem recorrer a páginas na rede Tor.
O grupo desenvolveu até mesmo uma ferramenta própria para extrair arquivos de cópias de sombra, que estão sendo utilizadas por outros aplicativos.
Entre as organizações já vitimadas pelo Play, encontram-se a Rackspace, as cidades de Oakland nos EUA e Antuérpia na Bélgica, o condado de Dallas, a varejista Arnold Clark, a rede de lojas Krispy Kreme e a empresa de semicondutores Microchip Technology.
Para prevenir-se contra esses ataques, as autoridades recomendam a implementação imediata de patches de segurança, a adoção de autenticação multifator, um enfoque na segurança de serviços críticos e a manutenção de backups offline com procedimentos de recuperação periodicamente testados.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...