{"version":"1.0","type":"rich","provider_name":"Acast","provider_url":"https://acast.com","height":250,"width":700,"html":"<iframe src=\"https://embed.acast.com/$/6775c7c6c82b0a6413df24e3/687f09fd498abee41695ff0b?\" frameBorder=\"0\" width=\"700\" height=\"250\"></iframe>","title":"IPGR Investigación 6 - Ransomware Play","thumbnail_width":200,"thumbnail_height":200,"thumbnail_url":"https://open-images.acast.com/shows/6775c7c6c82b0a6413df24e3/1753155808929-b68de082-2bfb-44d9-9c17-99fa80063ac0.jpeg?height=200","description":"<p>Investigación Profunda de Grupos de Ransomware</p><p>Investigación 6 - Ransomware Play</p><p><br></p><p>Identificación</p><p>Desde junio de 2022, el grupo Play (alias Balloonfly, PlayCrypt) ha afectado a más de 950 organizaciones. Su método: robar datos antes de cifrarlos (extensión .PLAY), dejar nota de rescate y amenazar con filtrar la lista de víctimas en la red TOR.</p><p>Origen y Perfil</p><p>Se sospecha conexión con operadores rusos (Hive, Nokoyawa) por similitudes en cifrado e infraestructura, aunque sin atribución oficial. Emplean una única recompilación de binarios en cada ataque y comparten balizas de Cobalt Strike (watermark 206546002) para evadir detecciones.</p><p><br></p><p>TTPs (MITRE ATT&amp;CK)</p><p>Acceso inicial: credenciales válidas (T1078), vulnerabilidades públicas (T1190) y RDP/VPN (T1133).</p><p>Descubrimiento: escaneo de red (T1016) y detección de software de seguridad (T1518.001).</p><p>Evasión: desactivación de herramientas (T1562.001) y borrado de logs (T1070.001).</p><p>Credenciales: volcado de credenciales (T1003) y búsqueda en almacenamientos inseguros (T1552).</p><p>Movimiento lateral: transferencia de herramientas (T1570) y PsExec.</p><p>Comando y Control: modificación de políticas de dominio (T1484.001).</p><p>Exfiltración: protocolos alternativos (T1048) via WinSCP/túneles C2.</p><p>Impacto: cifrado AES-RSA (T1486) y doble extorsión (T1657).</p><p><br></p><p>Flujo de Ataque</p><p>Ingreso: cuentas legítimas o fallos en FortiOS, Exchange, SimpleHelp.</p><p>Descubrimiento/Evasión: mapeo de red, desactivación de antivirus, borrado de logs.</p><p>Escalada: despliegue de beacons C2, PsExec, Mimikatz, WinPEAS.</p><p>Exfiltración &amp; Cifrado: compresión/exfiltración (WinRAR/WinSCP), cifrado híbrido y renombrado a .PLAY.</p><p>Extorsión: nota de rescate y amenaza de publicación en TOR.</p><p><br></p><p>Modelo de Negocio</p><p>Rescates de US$ 250 000–2 000 000 (pueden llegar a 7–12 M en grandes víctimas), negociados luego hasta 50 000–100 000. Cobran en Bitcoin o Ethereum, cada víctima recibe cartera única tras contacto por correo o llamada.</p><p><br></p><p>Victimología</p><p>Afectados principalmente en servicios empresariales, manufactura, tecnología, agroalimentario y logística. Sectores geográficos: EE UU, Canadá, Reino Unido, Alemania, Francia, Australia, Argentina, Suiza, Corea del Sur y Sudáfrica.</p><p><br></p><p>Contramedidas y Detección</p><p>Implementar MFA, contraseñas fuertes y bloqueo de cuentas.</p><p>Segmentar la red y filtrar accesos remotos.</p><p>Mantener parches al día en FortiOS, Exchange y SimpleHelp.</p><p>Monitorizar EDR/NDR para detectar movimientos laterales y uso anómalo de PowerShell/WinRM.</p><p>Asegurar respaldos offline, cifrados e inmutables.</p><p><br></p><p>URLS</p><p>https://www.ransomware.live/group/play</p><p>https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-352a</p><p>https://unit42.paloaltonetworks.com/north-korean-threat-group-play-ransomware/</p><p>https://blog.tecnetone.com/play-ransomware-ahora-como-servicio-comercial-para-hackers</p><p>https://www.virustotal.com/gui/file/7d14b98cdc1b898bd0d9be80398fc59ab560e8c44e0a9dedac8ad4ece3d450b0/behavior</p><p>https://unaaldia.hispasec.com/2024/11/ciberdelincuentes-norcoreanos-y-ransomware-play-nueva-amenaza.html</p><p><br></p><p>Correos del grupo</p><p>boitelswaniruxl@gmx.com, teilightomemaucd@gmx.com, raniyumiamrm@gmx, derdiarikucisv@gmx</p>","author_name":"Jose Rojas"}