Play

Überblick

Play, auch unter dem Aliasnamen „PlayCrypt“ bekannt, ist eine Ransomware-Gruppe, die nach dem Modell der doppelten Erpressung (Double Extortion) vorgeht: Daten werden vor der Verschlüsselung abgegriffen und mit deren Veröffentlichung gedroht. Schwerpunkt der Angriffe sind Organisationen in Lateinamerika, wobei Einrichtungen unterschiedlicher Branchen betroffen sind. Für den Erstzugang setzt die Gruppe auf Methoden, die anderen Ransomware-Akteuren ähneln: Phishing, ins Internet exponierte Dienste sowie die Kompromittierung gültiger Konten. Charakteristisch ist der Einsatz eigens entwickelter Werkzeuge zur internen Aufklärung und Datenexfiltration. Ein in .NET geschriebener Infostealer zählt Software und Dienste über WMI, WinRM, Remote Registry und Remote Service auf, prüft auf vorhandene Sicherheits- und Backup-Lösungen sowie Fernwartungswerkzeuge und legt die gesammelten Informationen in „.CSV“-Dateien ab, die zur späteren manuellen Exfiltration in einem „.ZIP“-Archiv komprimiert werden. Verschlüsselte Dateien erhalten die Endung „.play“.

Taktiken & Vorgehen

Der Erstzugang erfolgt über kompromittierte VPN-Zugangsdaten sowie das Ausnutzen öffentlich erreichbarer Anwendungen wie Microsoft Exchange (ProxyNotShell), FortiOS SSL VPN und RDP. Zur Ausführung und Persistenz dienen geplante Aufgaben und PowerShell-Skripte. Zur Tarnung werden Nutzlasten zur Umgehung des Virenschutzes in mehrere Teile zerlegt, Windows-Ereignisprotokolle mit „wevtutil“ gelöscht sowie Schutzwerkzeuge wie Windows Defender deaktiviert (EDRKill, GMER, IOBit, PowerTool). Anmeldedaten werden mit Mimikatz und Nanodump aus dem LSASS-Speicher sowie aus „NTDS.dit“ gewonnen. Für laterale Bewegung kommen RDP, PsExec und SMB zum Einsatz, zur Aufklärung AdFind und WinPEAS. Die Exfiltration läuft über WinSCP, Rclone und FRP; als C2-Frameworks dienen Cobalt Strike, SystemBC und AnyDesk. Verschlüsselt wird mit AES-RSA-Hybridverfahren auf Windows- und Linux/ESXi-Umgebungen.

Schutzmaßnahmen

VPN- und RDP-Fernzugänge sollten über Mehr-Faktor-Authentisierung abgesichert und auf kompromittierte Zugangsdaten überwacht werden. Öffentlich erreichbare Anwendungen wie Microsoft Exchange und FortiOS SSL VPN sollten gegen die ausgenutzten Schwachstellen gehärtet werden. Der Zugriff auf den LSASS-Speicher und auf „NTDS.dit“ sollte überwacht und eingeschränkt werden, um das Abgreifen von Anmeldedaten mit Mimikatz und Nanodump zu erschweren. Manipulationsschutz für Windows Defender und weitere Sicherheitswerkzeuge sollte aktiviert werden, um deren Deaktivierung durch EDRKill, GMER oder PowerTool zu verhindern. Windows-Ereignisprotokolle sollten zentral gesichert werden, da sie mit „wevtutil“ gelöscht werden. Die Nutzung von PsExec, PowerShell sowie ausgehende Übertragungen über WinSCP, Rclone und FRP sollten überwacht und nach Möglichkeit unterbunden werden.