Conocido desde junio de 2022, el ransomware Play (o PlayCrypt) es un importante actor malicioso que causa estragos en el panorama digital.
El grupo de ransomware Play se ha establecido como uno de los más amenazantes y formidables, afectando a una amplia gama de empresas e infraestructuras críticas en América del Norte, América del Sur, Europa y Australia, con un total de más de 787 víctimas registradas hasta la fecha.
Este grupo no parece detenerse ahí… según Ransomfeed, ya se ha cobrado nada menos que 47 víctimas en el último mes de febrero de 2025.
Detrás de este nombre casi lúdico se esconde una realidad mucho más oscura para las empresas e instituciones que caen víctimas.
Play ha vuelto a distinguirse por sus técnicas duales de extorsión (exfiltración y cifrado intermitente de datos, cifrando sólo determinadas partes de los archivos), su uso deherramientas personalizadas y su orientación a diversos sectores de todo el mundo.
Recientemente, se han establecido vínculos entre Play y actores estatales norcoreanos (Jumpy Piscis), lo que aumenta la gravedad de esta amenaza. Ver el artículo: Quand les pirates de Pyongyang se mettent au ransomware, en LeMagIt…
Una estrategia de ataque sofisticada y devastadora
He aquí un resumen de las tácticas, técnicas y procedimientos (TTP) utilizados por el ransomware Play:
- Acceso inicial: el grupo Play obtiene acceso inicial a las redes objetivo a través de cuentas válidas.
- Explotación de vulnerabilidades en aplicaciones disponibles públicamente, en particular vulnerabilidades conocidas en FortiOS (CVE-2018-13379 y CVE-2020-12812) y Microsoft Exchange (ProxyNotShell [CVE-2022-41040 y CVE-2022-41082]). Uso de servicios externos como Remote Desktop Protocol (RDP) y Virtual Private Networks (VPN) para el acceso inicial.
- Movimiento lateral yejecución: los actores del ransomware Play utilizan aplicaciones de mando y control (C2), como Cobalt Strike y SystemBC, así como herramientas como PsExec, para facilitar el movimiento lateral y la ejecución de archivos.
- Una vez establecidos en una red, los autores del ransomware buscan credenciales no seguras. Uso de Mimikatz para obtener acceso de administrador de dominio.
- Uso de Windows Privilege Escalation Awesome Scripts (WinPEAS) para buscar otras rutas de elevación de privilegios.
- Distribución de ejecutables a través de objetos de directiva de grupo.
- Exfiltración y cifrado: los operadores de ransomware suelen dividir los datos comprometidos en segmentos y utilizan herramientas como WinRAR para comprimir los archivos en formato .RAR para su exfiltración.
- Uso de WinSCP para transferir datos desde una red comprometida a cuentas controladas por el actor.
- Cifrado de archivos con cifrado híbrido AES-RSA mediante cifrado intermitente, cifrando todas las porciones de archivo de 0x100000 bytes.
- Se añadeuna extensión .play a los nombres de archivo y se coloca una nota de rescate titulada ReadMe[.]txt en el directorio del archivo.
- Destrucción de copias de seguridad: Play ataca los sistemas de copia de seguridad para privar a las víctimas de otras opciones de recuperación de datos, empleando meticulosas estrategias para eliminar las capacidades de copia de seguridad.
El impacto de los ataques en las organizaciones víctimas del ransomware Play
El grupo de ransomware Play utiliza un modelo de doble extorsión, cifrando los sistemas después de exfiltrar los datos.
En la nota de rescate se indica a las víctimas que se pongan en contacto con el grupo de ransomware Play en una dirección de correo electrónico que termina en @gmx[.]de.
Los pagos de los rescates se realizan en criptomoneda a direcciones de monederos proporcionadas por los actores de Play. Si una víctima se niega a pagar el rescate solicitado, los actores del ransomware amenazan con publicar los datos exfiltrados en su sitio de filtraciones en la red Tor (URL [. ]onion).
- Los sectores atacados son variados: telecomunicaciones, sanidad, medios de comunicación, transporte, construcción y administración pública. También se ataca a los proveedores de servicios gestionados.
- Regiones: se han observado ataques en Norteamérica, Sudamérica, Europa y Australia.
Variante Linux y ESXi como objetivo
Seha descubierto una nueva variante Linux del ransomware Play, dirigida específicamente a entornos VMware ESXi. Este descubrimiento sugiere una expansión de los ataques de Play a la plataforma Linux.
Ejemplo de ataque del ransomware Play
El grupo de ransomware Play, por ejemplo, reivindicó la autoría de un ciberataque que interrumpió las operaciones de Krispy Kreme en noviembre de 2024. El incidente provocó interrupciones en el sistema de pedidos en línea de la empresa en Estados Unidos. Krispy Kreme detectó actividad no autorizada en algunos de sus sistemas informáticos el 29 de noviembre y tomó medidas para contener y remediar la brecha, contratando a expertos externos en ciberseguridad para investigar el impacto del ataque.
El grupo Play afirmó haber recopilado y robado archivos que contenían datos confidenciales privados y personales, documentos de clientes, presupuestos, nóminas, datos contables, contratos, impuestos, documentos de identidad e información financiera.
A continuación, el grupo amenazó con publicar los datos a menos que se pagara un rescate…
¿Cómo protegerse contra el ransomware Play? Es esencial un enfoque multicapa
Para hacer frente al ransomware Play, es necesario adoptar una estrategia de defensa proactiva y multicapa. Este enfoque puede marcar la diferencia a la hora de mantenerte a salvo.
He aquí algunas medidas esenciales que debes poner en práctica hoy mismo:
Lagestión del acceso es siempre la primera línea de defensa.
Implante la autenticación multifactor en todos sus servicios críticos.
Adopte, por ejemplo, las recomendaciones del CyberFramework del NIST, en particular para sus políticas de contraseñas, dando preferencia a las frases largas (16 caracteres como mínimo).
Configure sus controles de acceso según el principio del menor privilegio y considere el acceso JIT (just-in-time) para las cuentas de administrador.
El mantenimiento sistemático de su infraestructura también es esencial para su seguridad:
Aplique rápidamente parches de seguridad, sobre todo para las vulnerabilidades conocidas en los sistemas expuestos a Internet. Mantenga actualizado su software antivirus, con la detección en tiempo real activada. Segmente sus redes para limitar la propagación potencial y desactive los puertos no utilizados.
Por último, su estrategia de copias de seguridad debe ser impecable. Guarde varias copias de sus datos críticos en un lugar físicamente separado y seguro. Asegúrese de que estas copias de seguridad estén cifradas y sean inmutables (imposibles de modificar por los atacantes). Pruebe regularmente sus procedimientos de restauración.
Gestión de crisis: qué hacer en caso de ataque
Si, a pesar de todas sus precauciones, es víctima de un ataque de Play, la reacción inmediata es crucial. Aísle inmediatamente los sistemas infectados para contener la propagación. Informe del incidente a las autoridades competentes, como el FBI, el CISA o, en Francia, la ANSSI.
Hay un punto esencial a destacar: los expertos en ciberseguridad, incluido el FBI, desaconsejan encarecidamente pagar el rescate. Esto no sólo financia a las organizaciones criminales, sino que no hay garantía de que sus datos se recuperen. En su lugar, llame a especialistas en respuesta a incidentes y prepárese para restaurar a partir de sus copias de seguridad.
El ransomware Play representa la evolución de una sofisticada amenaza cibercriminal que probablemente seguirá atacando con fuerza a las organizaciones en 2025.
La vigilancia, la preparación y una estrategia de defensa en profundidad siguen siendo sus mejores bazas frente a esta amenaza persistente. No espere a ser una víctima para tomar medidas: la prevención sigue siendo su inversión en ciberseguridad más rentable.
PREGUNTAS FRECUENTES
u003cstrongu003eComment puis-je détecter une infection par le ransomware Play ?u003c/strongu003e
Plusieurs indicateurs peuvent suggérer une infection par le ransomware Play :u003cbru003eu003cbru003e- u003cstrongu003eprésence de fichiers chiffrésu003c/strongu003e avec l’extension u0022.playu0022.u003cbru003e- u003cstrongu003edécouverte d’une note de rançonu003c/strongu003e nommée u0022ReadMe.txtu0022.u003cbru003e- u003cstrongu003eactivité réseau anormaleu003c/strongu003e, notamment des connexions sortantes vers des adresses IP suspectes.u003cbru003e- u003cstrongu003eutilisation d’outilsu003c/strongu003e tels que Mimikatz, PsExec, WinRAR ou WinSCP.u003cbru003e- u003cstrongu003emodification des paramètres de sécuritéu003c/strongu003e, comme la désactivation des logiciels antivirus.u003cbru003e- u003cstrongu003eprésence des logiciels malveillantsu003c/strongu003e SystemBC et DTrack
u003cstrongu003eQuelles mesures de prévention puis-je mettre en place pour me protéger contre le ransomware Play ?u003c/strongu003e
Pour se protéger contre le ransomware Play, il est crucial d’adopter une approche de sécurité multicouche :u003cbru003eu003cbru003eu003cstrongu003e- mettre en œuvre une politique de mots de passe robuste :u003c/strongu003e utiliser des mots de passe longs et complexes, stockés de manière sécurisée.u003cbru003eu003cstrongu003e- activer l’authentification multifacteur :u003c/strongu003e pour tous les services, en particulier le webmail, les VPN et les comptes d’administration.u003cbru003eu003cstrongu003e- mettre à jour régulièrement les systèmes :u003c/strongu003e patcher rapidement les vulnérabilités connues dans les systèmes d’exploitation, les logiciels et les firmwares, en particulier ceux exposés à Internet.u003cbru003eu003cstrongu003e- segmenter le réseau :u003c/strongu003e pour limiter la propagation du ransomware en cas d’infection.u003cbru003eu003cstrongu003e- mettre en place une solution EDR (Endpoint Detection and Response) :u003c/strongu003e pour détecter et bloquer les activités suspectes.u003cbru003eu003cstrongu003e- filtrer le trafic réseau :u003c/strongu003e pour empêcher les connexions non autorisées vers les services internes.u003cbru003eu003cstrongu003e- installer et maintenir à jour un antivirus :u003c/strongu003e sur tous les postes de travail et serveurs.u003cbru003eu003cstrongu003e- auditer régulièrement les comptes utilisateurs :u003c/strongu003e en particulier les comptes avec privilèges administratifs, et appliquer le principe du moindre privilège.u003cbru003eu003cstrongu003e- désactiver les ports inutilisés :u003c/strongu003e pour réduire la surface d’attaque.u003cbru003eu003cstrongu003e- maintenir des sauvegardes hors ligne des données :u003c/strongu003e en s’assurant qu’elles sont chiffrées et immuables.
u003cstrongu003eQue faire si je suis victime d’une attaque de ransomware Play ?u003c/strongu003e
Si vous êtes victime d’une attaque de ransomware Play, les actions suivantes sont recommandées :u003cbru003eu003cstrongu003eu003cbru003e- isoler immédiatement les systèmes infectés :u003c/strongu003e pour empêcher la propagation du ransomware.u003cbru003eu003cstrongu003e- signaler l’incident aux autorités compétentes :u003c/strongu003e telles que le FBI, CISA, ANSSI, etcu003cbru003eu003cstrongu003e- ne pas payer la rançon :u003c/strongu003e cela n’offre aucune garantie de récupération des données et encourage l’activité criminelle.u003cbru003eu003cstrongu003e- restaurer les données à partir des sauvegardes :u003c/strongu003e en s’assurant que les sauvegardes sont récentes et exemptes de toute infection.u003cbru003eu003cstrongu003e- analyser l’incident :u003c/strongu003e pour identifier la cause de l’attaque et renforcer les mesures de sécurité.u003cbru003eu003cstrongu003e- contacter un spécialiste en réponse aux incidents :u003c/strongu003e pour obtenir u003ca href=u0022https://sosransomware.com/expertise-recuperation-de-donnees/recuperation-de-donnees-ransomware/u0022u003eune assistance professionnelle dans la gestion de l’attaque et des solutions personnaliséesu003c/au003e.
