logo SOS Ransomware
Kontakt 24/7

Play-Ransomware: eine ernsthafte Bedrohung für Unternehmen im Jahr 2025

Die bereits im Juni 2022 bekannt gewordene Ransomware Play (oder PlayCrypt) ist ein führender bösartiger Akteur, der die digitale Landschaft in Angst und Schrecken versetzt.

Die Play-Ransomware-Gruppe hat sich als eine der bedrohlichsten und furchterregendsten Gruppen etabliert, die eine Vielzahl von Unternehmen und wichtigen Infrastrukturen in Nordamerika, Südamerika, Europa und Australien befallen hat – insgesamt wurden bis heute über 787 Opfer dokumentiert.

Play ransomware in the world
Quelle: ransomeware.live

Ransomfeed zufolge hat die Gruppe im letzten Monat Februar 2025 bereits 47 Opfer gefordert.

Hinter diesem fast spielerischen Namen verbirgt sich eine dunklere Realität für die betroffenen Unternehmen und Institutionen.

Play hat sich durch seine doppelten Erpressungstechniken (Exfiltration und intermittierende Verschlüsselung von Daten, wobei nur Teile der Dateien verschlüsselt werden), die Verwendung vonbenutzerdefinierten Tools und die Ausrichtung auf verschiedene Branchen in der ganzen Welt weiter hervorgetan.

In jüngster Zeit wurden Verbindungen zwischen Play und staatlichen Akteuren in Nordkorea (Jumpy Pisces) hergestellt, was die Ernsthaftigkeit dieser Bedrohung erhöht. Siehe den Artikel: Wenn Pjöngjangs Hacker auf Ransomware umsteigen, auf LeMagIt

Eine ausgeklügelte und verheerende Angriffsstrategie.

Hier ist ein Überblick über ihre Taktiken, Techniken und Verfahren (TTP), die von der Play-Ransomware verwendet werden:

  • Initialzugriff: Die Play-Gruppe verschafft sich über gültige Konten einen Initialzugriff auf die Zielnetzwerke.
  • Ausnutzung von Schwachstellen in öffentlich zugänglichen Anwendungen, insbesondere der bekannten Schwachstellen in FortiOS (CVE-2018-13379 und CVE-2020-12812) und Microsoft Exchange (ProxyNotShell [CVE-2022-41040 und CVE-2022-41082]). Nutzung externer Dienste wie Remote Desktop Protocol (RDP) und Virtual Private Networks (VPN) für den Erstzugriff.
  • Seitwärtsbewegung und Ausführung: Die Play-Ransomware-Akteure nutzen Command-and-Control-Anwendungen (C2), darunter Cobalt Strike und SystemBC, sowie Tools wie PsExec, um die Seitwärtsbewegung und Ausführung von Dateien zu erleichtern.
  • Sobald sie sichin einem Netzwerk etabliert haben, suchen die Akteure der Ransomware nach ungesicherten Anmeldeinformationen. Verwendung von Mimikatz, um Domänenadministratorzugriff zu erlangen.
  • Verwendung von Windows Privilege Escalation Awesome Scripts (WinPEAS), um nach weiteren Pfaden zur Erhöhung von Berechtigungen zu suchen.
  • Verteilung von ausführbaren Dateien über Gruppenrichtlinienobjekte.
  • Exfiltration und Verschlüsselung: Ransomware-Betreiber teilen kompromittierte Daten häufig in Segmente auf und verwenden Tools wie WinRAR, um die Dateien für die Exfiltration in das .RAR-Format zu komprimieren.
  • Verwendung von WinSCP, um Daten aus einem kompromittierten Netzwerk auf Konten zu übertragen, die vom Akteur kontrolliert werden.
  • Verschlüsselung von Dateien mit der hybriden AES-RSA-Verschlüsselung unter Verwendung einer intermittierenden Verschlüsselung, die alle Dateiteile von 0x100000 Bytes verschlüsselt.
  • Den Dateinamen wirdeine .play-Erweiterung hinzugefügt und eine Lösegeldnotiz mit dem Titel ReadMe[.]txt im Dateiverzeichnis platziert.
  • Zerstörung von Backups: Play greift Backupsysteme an, um den Opfern andere Optionen zur Datenwiederherstellung zu nehmen, indem es akribische Strategien anwendet, um die Backup-Kapazitäten zu eliminieren.
Group Play tools used
Durch Ransomware-Tool-Matrix

Die Auswirkungen der Angriffe auf Organisationen, die Opfer der Play-Ransomware sind.

Die Play-Ransomware-Gruppe verwendet ein doppeltes Erpressungsmodell und verschlüsselt Systeme, nachdem sie Daten exfiltriert hat.

In der Lösegeldmitteilung werden die Opfer aufgefordert, die Play-Ransomware-Gruppe unter einer E-Mail-Adresse zu kontaktieren, die mit @gmx[.]de endet.

Die Lösegeldzahlungen werden in Kryptowährung an Wallet-Adressen überwiesen, die von den Play-Akteuren bereitgestellt werden. Wenn sich ein Opfer weigert, das geforderte Lösegeld zu zahlen, drohen die Ransomware-Akteure damit, die exfiltrierten Daten auf ihrer Leaking-Website im Tor-Netzwerk (URL [. ]onion) zu veröffentlichen.

  • Die Zielbranchen sind vielfältig: Telekommunikation, Gesundheitswesen, Medien, Transport, Bauwesen und Regierung. Auch Anbieter von verwalteten Diensten (Managed Service Providers) werden ins Visier genommen.
  • Regionen: Die Angriffe wurden in Nordamerika, Südamerika, Europa und Australien beobachtet.

Linux-Variante und ESXi-Targeting

Eswurde eine neue Linux-Variante der Play-Ransomware entdeckt, die speziell auf VMware ESXi-Umgebungen abzielt. Diese Entdeckung deutet auf eine Ausweitung der Play-Angriffe auf die Linux-Plattform hin.

Beispiel für einen Angriff der Play-Ransomware.

Die Ransomware-Gruppe Play hat beispielsweise die Verantwortung für einen Cyberangriff übernommen, der im November 2024 den Betrieb von Krispy Kreme störte. Der Vorfall hatte zu Störungen im Online-Bestellsystem des Unternehmens in den USA geführt. Krispy Kreme stellte am 29. November eine nicht autorisierte Aktivität in einigen seiner Computersysteme fest und ergriff Maßnahmen, um die Verletzung einzudämmen und zu beheben, und beauftragte externe Experten für Cybersicherheit, die die Auswirkungen des Angriffs untersuchten.

Die Play-Gruppe behauptete, sie habe Dateien mit vertraulichen privaten und persönlichen Daten, Kundendokumenten, Budgets, Gehaltsabrechnungen, Buchhaltungsdaten, Verträgen, Steuern, Ausweisen und Finanzinformationen gesammelt und gestohlen.

Die Gruppe drohte dann natürlich damit, diese Daten zu veröffentlichen, wenn kein Lösegeld gezahlt wird…

Ransomware how to protect

Wie kann man sich vor der Play-Ransomware schützen? Ein mehrschichtiger Ansatz ist unerlässlich.

Um der Play-Ransomware zu begegnen, sollten Sie im Vorfeld eine Verteidigungsstrategie bevorzugen, die sowohl proaktiv als auch mehrschichtig ist. Dieser Ansatz kann den entscheidenden Unterschied machen, ob Sie sicher sind oder nicht.

Hier sind einige wichtige Maßnahmen, die Sie schon heute umsetzen sollten:

Die Zugriffsverwaltung stellt immer Ihre erste Verteidigungslinie dar.

Implementieren Sie eine Multi-Faktor-Authentifizierung für alle Ihre kritischen Dienste.

Halten Sie sich an die Empfehlungen des CyberFramework NIST, z. B. für Ihre Passwortrichtlinien, und bevorzugen Sie lange Passphrasen (mindestens 16 Zeichen).

Konfigurieren Sie Ihre Zugriffskontrollen nach dem Least-Privilege-Prinzip und ziehen Sie für Administratorkonten den JIT-Zugang (Just-in-Time) in Betracht.

Die systematische Wartung Ihrer Infrastruktur ist ebenfalls ein Muss für Ihre Sicherheit:

Spielen Sie Sicherheits-Patches schnell ein, insbesondere bei bekannten Schwachstellen auf Systemen, die dem Internet ausgesetzt sind. Halten Sie Ihre Antivirenprogramme mit aktivierter Echtzeit-Erkennung auf dem neuesten Stand. Segmentieren Sie Ihre Netzwerke, um die potenzielle Ausbreitung zu begrenzen, und deaktivieren Sie ungenutzte Ports.

Schließlich muss Ihre Sicherungsstrategie einwandfrei sein. Bewahren Sie mehrere Kopien Ihrer kritischen Daten an einem physisch getrennten und sicheren Ort auf. Stellen Sie sicher, dass diese Sicherungen verschlüsselt und unveränderlich sind (d. h. von Angreifern nicht verändert werden können). Testen Sie Ihre Wiederherstellungsverfahren regelmäßig.

Krisenmanagement: Was tun im Falle eines Angriffs?

Wenn Sie trotz all Ihrer Vorsichtsmaßnahmen Opfer von Play werden, ist die sofortige Reaktion entscheidend. Isolieren Sie infizierte Systeme sofort, um die Ausbreitung einzudämmen. Melden Sie den Vorfall den zuständigen Behörden wie dem FBI, der CISA oder – in Frankreich – der ANSSI.

Betonen Sie einen wichtigen Punkt: Experten für Cybersicherheit, darunter das FBI, raten dringend davon ab, Lösegeld zu zahlen. Damit werden nicht nur kriminelle Organisationen finanziert, sondern es gibt auch keine Garantie für die Wiederherstellung Ihrer Daten. Wenden Sie sich stattdessen an Spezialisten für die Reaktion auf Vorfälle und bereiten Sie sich auf die Wiederherstellung aus Ihren Datensicherungen vor.

Die Play-Ransomware stellt die Weiterentwicklung einer ausgeklügelten cyberkriminellen Bedrohung dar, die wahrscheinlich auch im Jahr 2025 weiterhin Organisationen stark ins Visier nehmen wird.

Wachsamkeit, Vorbereitung und eine tief greifende Verteidigungsstrategie bleiben Ihre besten Trümpfe gegen diese anhaltende Bedrohung. Warten Sie nicht, bis Sie Opfer werden, um zu handeln – Prävention bleibt Ihre rentabelste Investition in die Cybersicherheit.

FAQ

u003cstrongu003eComment puis-je détecter une infection par le ransomware Play ?u003c/strongu003e

Plusieurs indicateurs peuvent suggérer une infection par le ransomware Play :u003cbru003eu003cbru003e- u003cstrongu003eprésence de fichiers chiffrésu003c/strongu003e avec l’extension u0022.playu0022.u003cbru003e- u003cstrongu003edécouverte d’une note de rançonu003c/strongu003e nommée u0022ReadMe.txtu0022.u003cbru003e- u003cstrongu003eactivité réseau anormaleu003c/strongu003e, notamment des connexions sortantes vers des adresses IP suspectes.u003cbru003e- u003cstrongu003eutilisation d’outilsu003c/strongu003e tels que Mimikatz, PsExec, WinRAR ou WinSCP.u003cbru003e- u003cstrongu003emodification des paramètres de sécuritéu003c/strongu003e, comme la désactivation des logiciels antivirus.u003cbru003e- u003cstrongu003eprésence des logiciels malveillantsu003c/strongu003e SystemBC et DTrack

u003cstrongu003eQuelles mesures de prévention puis-je mettre en place pour me protéger contre le ransomware Play ?u003c/strongu003e

Pour se protéger contre le ransomware Play, il est crucial d’adopter une approche de sécurité multicouche :u003cbru003eu003cbru003eu003cstrongu003e- mettre en œuvre une politique de mots de passe robuste :u003c/strongu003e utiliser des mots de passe longs et complexes, stockés de manière sécurisée.u003cbru003eu003cstrongu003e- activer l’authentification multifacteur :u003c/strongu003e pour tous les services, en particulier le webmail, les VPN et les comptes d’administration.u003cbru003eu003cstrongu003e- mettre à jour régulièrement les systèmes :u003c/strongu003e patcher rapidement les vulnérabilités connues dans les systèmes d’exploitation, les logiciels et les firmwares, en particulier ceux exposés à Internet.u003cbru003eu003cstrongu003e- segmenter le réseau :u003c/strongu003e pour limiter la propagation du ransomware en cas d’infection.u003cbru003eu003cstrongu003e- mettre en place une solution EDR (Endpoint Detection and Response) :u003c/strongu003e pour détecter et bloquer les activités suspectes.u003cbru003eu003cstrongu003e- filtrer le trafic réseau :u003c/strongu003e pour empêcher les connexions non autorisées vers les services internes.u003cbru003eu003cstrongu003e- installer et maintenir à jour un antivirus :u003c/strongu003e sur tous les postes de travail et serveurs.u003cbru003eu003cstrongu003e- auditer régulièrement les comptes utilisateurs :u003c/strongu003e en particulier les comptes avec privilèges administratifs, et appliquer le principe du moindre privilège.u003cbru003eu003cstrongu003e- désactiver les ports inutilisés :u003c/strongu003e pour réduire la surface d’attaque.u003cbru003eu003cstrongu003e- maintenir des sauvegardes hors ligne des données :u003c/strongu003e en s’assurant qu’elles sont chiffrées et immuables.

u003cstrongu003eQue faire si je suis victime d’une attaque de ransomware Play ?u003c/strongu003e

Si vous êtes victime d’une attaque de ransomware Play, les actions suivantes sont recommandées :u003cbru003eu003cstrongu003eu003cbru003e- isoler immédiatement les systèmes infectés :u003c/strongu003e pour empêcher la propagation du ransomware.u003cbru003eu003cstrongu003e- signaler l’incident aux autorités compétentes :u003c/strongu003e telles que le FBI, CISA, ANSSI, etcu003cbru003eu003cstrongu003e- ne pas payer la rançon :u003c/strongu003e cela n’offre aucune garantie de récupération des données et encourage l’activité criminelle.u003cbru003eu003cstrongu003e- restaurer les données à partir des sauvegardes :u003c/strongu003e en s’assurant que les sauvegardes sont récentes et exemptes de toute infection.u003cbru003eu003cstrongu003e- analyser l’incident :u003c/strongu003e pour identifier la cause de l’attaque et renforcer les mesures de sécurité.u003cbru003eu003cstrongu003e- contacter un spécialiste en réponse aux incidents :u003c/strongu003e pour obtenir u003ca href=u0022https://sosransomware.com/expertise-recuperation-de-donnees/recuperation-de-donnees-ransomware/u0022u003eune assistance professionnelle dans la gestion de l’attaque et des solutions personnaliséesu003c/au003e.

Picture of Florent Chassignol
Florent Chassignol

Partager cet article

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

© 2025 SOS RANSOMWARE & RECOVEO TECHNOLOGY GROUP | Made by Tell It