Ransomware Play Torna-se Comercial - Agora Oferecido como um Serviço para Cibercriminosos
22 de Novembro de 2023

O ransomware conhecido como Play agora está sendo oferecida a outros agentes de ameaça "como um serviço", novas evidências descobertas pela Adlumin revelaram.

"A falta incomum até mesmo de pequenas variações entre os ataques sugere que estão sendo realizados por afiliados que compraram o ransomware como um serviço (RaaS) e estão seguindo instruções passo a passo dos playbooks entregues com ele", disse a empresa de segurança cibernética em um relatório.

As descobertas são baseadas em vários ataques de ransomware Play rastreados pela Adlumin abrangendo diferentes setores que incorporaram táticas quase idênticas e na mesma sequência.

Isso inclui o uso da pasta de música pública (C:\...\public\music) para esconder o arquivo malicioso, a mesma senha para criar contas de alto privilégio, e ambos os ataques, e os mesmos comandos.

Play, também chamado de Balloonfly e PlayCrypt, veio à luz pela primeira vez em junho de 2022, explorando falhas de segurança no Microsoft Exchange Server – ou seja, ProxyNotShell e OWASSRF – para infiltrar redes e soltar ferramentas de administração remota como AnyDesk e finalmente implementar o ransomware.

Além de usar ferramentas personalizadas de coleta de dados, como Grixba, para extorsão dupla, um aspecto notável que diferenciava o Play de outros grupos ransomware era o fato de que os operadores responsáveis ​​pelo desenvolvimento do malware também realizavam os ataques.

O novo desenvolvimento, portanto, marca uma mudança e completa sua transformação em uma operação de RaaS, tornando-se uma opção lucrativa para os cibercriminosos.

"Quando os operadores de RaaS anunciam kits de ransomware que vêm com tudo de que um hacker precisará, incluindo documentação, fóruns, suporte técnico e suporte para negociação de resgate, os script kiddies serão tentados a tentar a sorte e colocar suas habilidades em uso", disse Adlumin.

"E, já que provavelmente existem mais script kiddies do que 'hackers de verdade' hoje em dia, as empresas e autoridades devem tomar nota e se preparar para uma crescente onda de incidentes."

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...