Vectra AI 、2025年ガートナーのネットワーク検知とレスポンス (NDR) のマジック ・クアドラントでリーダーの1社の評価 >
NEW
最新レポート

Vectra AI 、2025年ガートナーのネットワーク検知とレスポンス (NDR) のマジック ・クアドラントでリーダーの1社の評価 >

Vectra AI、2025年ガートナーのネットワーク検知とレスポンス(NDR)のマジック・クアドラントにおいてリーダーの1社に
ハンバーガー・アイコン・トップライン
ハンバーガーアイコン中線
ハンバーガーアイコン
  1. cybercriminels
    >
  2. ランサムウェア・グループ

PLAY

PlayCryptとしても知られるPlayランサムウェアグループは、データを盗み出し暗号化することで二重の恐喝攻撃を行う、洗練された非常に活動的な脅威行為者であり、ステルス性の高いクレデンシャルベースの侵入やカスタムビルドのmalware、世界中のさまざまな分野の組織を標的としています。

検知 PLAYTTP
貴社はPLAYランサムウェア攻撃に対して安全ですか?
背景と目標
TTP
MITREマッピング
検知
よくあるご質問(FAQ)
脅威ブリーフィングを見る
背景
国名
産業
被害者

その起源PLAY

PlayCryptとしても知られるPlayランサムウェア・グループは2022年6月に出現し、急速に世界的に最も活発なランサムウェア・オペレーションの1つとなった。ランサムウェア・アズ・ア・サービス(RaaS)モデルとは異なり、Playはオペレーション、インフラ、交渉を直接コントロールするクローズドなグループであると考えられている。

リークサイトにあるように、このグループは秘密主義と中央集権を重視している。彼らは、データの窃盗と暗号化を組み合わせた二重の恐喝戦略を採用し、被害者に支払いを迫る。身代金要求書には通常、決まった要求や指示がなく、代わりに被害者がgmx[.]deや web[.]deにホストされている固有の電子メールアドレスを通じてPlayに連絡するよう指示している。

ソースOCD

対象国PLAY

このグループは北米、南米、ヨーロッパを重点的に攻撃しており、2023年4月以降はオーストラリアでの活動が目立っている。2025年5月現在、FBIは900件以上の事件をプレイとその関係者に起因するものとしており、その大規模な活動拠点を裏付けている。

ソース: ランサムウェア・ライブ

対象産業PLAY

プレイは、教育、政府、医療、製造、法律、ITサービスなど、幅広いセクターを攻撃してきた。彼らは一つの業界に特化しているようには見えず、その代わりに広範囲に及ぶ日和見的な標的を選んでいる。彼らの関心は通常、サイバー成熟度が低いと思われる組織や、金銭を支払う可能性の高い高圧的な環境にある。

Telecommunications

Healthcare

Federal

Manufacturing

PLAY犠牲者

現在までに911人以上の被害者がこの悪質な手口の餌食となっている。

ソース ランサムウェア.ライブ
攻撃方法

PLAY攻撃方法

初期アクセス
特権エスカレーション
防御回避
クレデンシャル・アクセス
ディスカバリー
横の動き
コレクション
実行
データ流出
インパクト
コンピューター、スマートフォン、タブレット端末など、さまざまなデバイスで埋め尽くされたデジタルの風景に広い網をかける影のような人物。この網は、脆弱性を見つけたり、フィッシングのテクニックを使って不正アクセスを試みる攻撃者を象徴している。

プレイ型ランサムウェアの運営者は、ダークウェブのマーケットプレイスで購入された可能性が高い有効な認証情報でログインすることから始めることが多い。これらの認証情報は通常、VPNやリモート・デスクトップ・プロトコル(RDP)のようなリモート・アクセス・サービスに関連付けられています。認証情報が利用できない場合、インターネットに面したアプリケーションの脆弱性を悪用します。既知のエントリーポイントには、Fortinet FortiOSやMicrosoft Exchangeサーバーの欠陥(ProxyNotShellなど)があります。2025年初頭、彼らと提携するアクセス・ブローカーは、SimpleHelpリモート・モニタリング・ツールの新たに公開された脆弱性を悪用して、リモート・コードを実行し、内部システムにサイレントにアクセスし始めました。

基本的なユーザーアイコンから、管理者権限を象徴する王冠に向かって上に伸びるデジタル梯子。これは、攻撃者がシステム内でより高いレベルのアクセス権を得ようとする努力を表している。

一旦内部に侵入すると、プレイアクターは設定ミスやソフトウェアの弱点を特定することで特権を昇格させます。彼らは、WinPEASのようなツールを使用して、ローカルの特権昇格の機会を列挙し、多くの場合、それらを直接悪用します。また、多くのインシデントにおいて、アクターはNektoや PriviCMDのようなツールを導入し、アクセス権の昇格を図ります。最終的な目標は、ドメイン管理者権限を獲得し、環境を完全に制御してランサムウェアのペイロードを広くプッシュできるようにすることです。

デジタルの背景に溶け込むカメレオン、その周囲を流れる0と1。これは、通常のネットワーク・トラフィックに紛れるように戦術を変え、セキュリティ対策による検知を回避する攻撃者の能力を表している。

検知を避けるため、攻撃者は組織的にセキュリティ・ソフトウェアを無効化する。GMERIOBitPowerToolのようなツールはウイルス対策プロセスを停止させるために使用され、PowerShellスクリプトはMicrosoft Defenderを無効にするために使用されます。また、Windowsイベント・ログからログやその他のフォレンジック・アーティファクトを消去し、防御者が彼らの活動を検知 したり、侵入のタイムラインを再構築できる可能性を減らします。

ログインフォームのような形をした巨大な鍵穴で作業する鍵開け道具を持った泥棒は、不正アクセスを得るためにユーザー認証情報を盗もうとする攻撃者の努力を表している。

プレイ型ランサムウェアの実行者は、侵害された環境全体で認証情報を積極的に探します。保護されていないファイルや設定データを調べ上げ、保存されている認証情報を抽出し、可能であればMimikatzを展開して認証情報をメモリから直接ダンプします。このツールは Cobalt Strikeのようなプラットフォームを通じて実行されることもあり、攻撃者は従来のアラートをトリガーすることなく、ドメイン管理者の認証情報を採取することができます。

拡大鏡がネットワークのデジタルマップ上を移動し、ファイル、フォルダ、ネットワーク接続をハイライトする。この画像は、攻撃者が環境を探索し、構造や貴重なデータが存在する場所を理解する段階を表しています。

発見段階において、プレイ・オペレーターはネットワークのレイアウトを理解し、貴重なターゲットを特定するために内部偵察を行う。AdFindや Grixbaのようなツールを使用して、Active Directoryの構造を列挙し、ホスト名をリストアップし、エンドポイント保護ツールを含むインストール済みソフトウェアを特定します。この偵察は、横方向の動きを誘導し、摩擦の大きいセキュリティ・ゾーンを回避するのに役立ちます。

一連の相互接続されたノードと、その間をこっそりと移動する影のような人物。これは、ネットワーク内での攻撃者の動きを示しており、追加のシステムの制御を得ようとしたり、malware 。

ネットワーク上を移動するために、アクターはPsExecのような横移動ツールを利用してリモートでコマンドを実行する。また、以下のようなポストエクスプロイトフレームワークも利用しています。 Cobalt StrikeSystemBCのようなポストエクスプロイトフレームワークも利用します。ドメインレベルのアクセスが達成されると、グループポリシーオブジェクトを介してペイロードを配布し、ランサムウェアのバイナリを効果的にシステムに大量にプッシュします。

大きなバキュームがファイルやデータアイコン、フォルダを吸い取って、影のような人物の持つ袋に入れる。このイメージは、ターゲット・ネットワークから貴重なデータを収集するプロセスを象徴している。

データを暗号化する前に、プレイオペレーターはファイルを流出させる。彼らはしばしば、盗んだデータを小さな塊に分割し、それを圧縮して .RAR を使用したアーカイブ WinRAR.このステップにより、データが転送可能な状態になり、データ損失防止(DLP)ツールやエンドポイントアラートがトリガーされる可能性が低くなる。

デジタル背景の前にコマンドプロンプトウィンドウが開き、悪意のあるコードが入力されている。これは、攻撃者が侵害されたシステム内で悪意のあるペイロードを実行する段階を表しています。

実行は、手動制御と自動配信を組み合わせて行われます。ランサムウェアのバイナリは、多くの場合、PsExec、Cobalt Strike、またはグループポリシーの変更を介して配信および実行されます。各バイナリはターゲット環境用に独自にコンパイルされており、シグネチャベースのアンチウイルス検出を回避するのに役立ちます。実行されると、ランサムウェアはファイルの暗号化を開始し、身代金要求が発行されるまでオペレーションのアップタイムを維持するためにシステムファイルをスキップします。

一連のファイルが秘密のチャネルを通じてコン​​ピューターから頭蓋骨のラベルが付いたクラウドに送信されており、攻撃者が管理する場所へのデータの不正転送を象徴しています。

いったんデータがステージングされると、プレイアクターはWinSCPのようなツールを使用して、盗んだデータを暗号化されたチャネルを介して安全にインフラストラクチャに送信します。これらのファイルは通常、被害者のドメイン外でホストされている攻撃者が管理する環境に保存されます。このグループは、暗号化が始まる前に、トラフィック監視ソリューションを回避し、データ抽出速度を最大化するために、複数の転送方法を使用しています。

ひび割れた画面の背後には混沌としたデジタルの街並みが描かれており、サービスの中断、データの破壊、金銭的損失など、サイバー攻撃の破壊的影響を象徴している。

Play ランサムウェアは 二重強要 モデル:データを盗んだ後、被害者のファイルを暗号化し、通常は@gmx.deまたは@web.deのユニークなアドレスに結びついた電子メール通信を通じて支払いを要求する。暗号化されたファイルは PLAY 拡張子で、身代金のメモが公開ディレクトリに残されている。支払いが行われない場合、グループはTorホスティングのリークサイトで盗まれたデータをリークすると脅す。場合によっては、オープンソースのインテリジェンスを通じて発見されたヘルプデスクや顧客サービスラインなど、組織の電話番号に電話をかけて圧力を強める。

コンピューター、スマートフォン、タブレット端末など、さまざまなデバイスで埋め尽くされたデジタルの風景に広い網をかける影のような人物。この網は、脆弱性を見つけたり、フィッシングのテクニックを使って不正アクセスを試みる攻撃者を象徴している。
初期アクセス

プレイ型ランサムウェアの運営者は、ダークウェブのマーケットプレイスで購入された可能性が高い有効な認証情報でログインすることから始めることが多い。これらの認証情報は通常、VPNやリモート・デスクトップ・プロトコル(RDP)のようなリモート・アクセス・サービスに関連付けられています。認証情報が利用できない場合、インターネットに面したアプリケーションの脆弱性を悪用します。既知のエントリーポイントには、Fortinet FortiOSやMicrosoft Exchangeサーバーの欠陥(ProxyNotShellなど)があります。2025年初頭、彼らと提携するアクセス・ブローカーは、SimpleHelpリモート・モニタリング・ツールの新たに公開された脆弱性を悪用して、リモート・コードを実行し、内部システムにサイレントにアクセスし始めました。

基本的なユーザーアイコンから、管理者権限を象徴する王冠に向かって上に伸びるデジタル梯子。これは、攻撃者がシステム内でより高いレベルのアクセス権を得ようとする努力を表している。
特権エスカレーション

一旦内部に侵入すると、プレイアクターは設定ミスやソフトウェアの弱点を特定することで特権を昇格させます。彼らは、WinPEASのようなツールを使用して、ローカルの特権昇格の機会を列挙し、多くの場合、それらを直接悪用します。また、多くのインシデントにおいて、アクターはNektoや PriviCMDのようなツールを導入し、アクセス権の昇格を図ります。最終的な目標は、ドメイン管理者権限を獲得し、環境を完全に制御してランサムウェアのペイロードを広くプッシュできるようにすることです。

デジタルの背景に溶け込むカメレオン、その周囲を流れる0と1。これは、通常のネットワーク・トラフィックに紛れるように戦術を変え、セキュリティ対策による検知を回避する攻撃者の能力を表している。
防御回避

検知を避けるため、攻撃者は組織的にセキュリティ・ソフトウェアを無効化する。GMERIOBitPowerToolのようなツールはウイルス対策プロセスを停止させるために使用され、PowerShellスクリプトはMicrosoft Defenderを無効にするために使用されます。また、Windowsイベント・ログからログやその他のフォレンジック・アーティファクトを消去し、防御者が彼らの活動を検知 したり、侵入のタイムラインを再構築できる可能性を減らします。

ログインフォームのような形をした巨大な鍵穴で作業する鍵開け道具を持った泥棒は、不正アクセスを得るためにユーザー認証情報を盗もうとする攻撃者の努力を表している。
クレデンシャル・アクセス

プレイ型ランサムウェアの実行者は、侵害された環境全体で認証情報を積極的に探します。保護されていないファイルや設定データを調べ上げ、保存されている認証情報を抽出し、可能であればMimikatzを展開して認証情報をメモリから直接ダンプします。このツールは Cobalt Strikeのようなプラットフォームを通じて実行されることもあり、攻撃者は従来のアラートをトリガーすることなく、ドメイン管理者の認証情報を採取することができます。

拡大鏡がネットワークのデジタルマップ上を移動し、ファイル、フォルダ、ネットワーク接続をハイライトする。この画像は、攻撃者が環境を探索し、構造や貴重なデータが存在する場所を理解する段階を表しています。
ディスカバリー

発見段階において、プレイ・オペレーターはネットワークのレイアウトを理解し、貴重なターゲットを特定するために内部偵察を行う。AdFindや Grixbaのようなツールを使用して、Active Directoryの構造を列挙し、ホスト名をリストアップし、エンドポイント保護ツールを含むインストール済みソフトウェアを特定します。この偵察は、横方向の動きを誘導し、摩擦の大きいセキュリティ・ゾーンを回避するのに役立ちます。

一連の相互接続されたノードと、その間をこっそりと移動する影のような人物。これは、ネットワーク内での攻撃者の動きを示しており、追加のシステムの制御を得ようとしたり、malware 。
横の動き

ネットワーク上を移動するために、アクターはPsExecのような横移動ツールを利用してリモートでコマンドを実行する。また、以下のようなポストエクスプロイトフレームワークも利用しています。 Cobalt StrikeSystemBCのようなポストエクスプロイトフレームワークも利用します。ドメインレベルのアクセスが達成されると、グループポリシーオブジェクトを介してペイロードを配布し、ランサムウェアのバイナリを効果的にシステムに大量にプッシュします。

大きなバキュームがファイルやデータアイコン、フォルダを吸い取って、影のような人物の持つ袋に入れる。このイメージは、ターゲット・ネットワークから貴重なデータを収集するプロセスを象徴している。
コレクション

データを暗号化する前に、プレイオペレーターはファイルを流出させる。彼らはしばしば、盗んだデータを小さな塊に分割し、それを圧縮して .RAR を使用したアーカイブ WinRAR.このステップにより、データが転送可能な状態になり、データ損失防止(DLP)ツールやエンドポイントアラートがトリガーされる可能性が低くなる。

デジタル背景の前にコマンドプロンプトウィンドウが開き、悪意のあるコードが入力されている。これは、攻撃者が侵害されたシステム内で悪意のあるペイロードを実行する段階を表しています。
実行

実行は、手動制御と自動配信を組み合わせて行われます。ランサムウェアのバイナリは、多くの場合、PsExec、Cobalt Strike、またはグループポリシーの変更を介して配信および実行されます。各バイナリはターゲット環境用に独自にコンパイルされており、シグネチャベースのアンチウイルス検出を回避するのに役立ちます。実行されると、ランサムウェアはファイルの暗号化を開始し、身代金要求が発行されるまでオペレーションのアップタイムを維持するためにシステムファイルをスキップします。

一連のファイルが秘密のチャネルを通じてコン​​ピューターから頭蓋骨のラベルが付いたクラウドに送信されており、攻撃者が管理する場所へのデータの不正転送を象徴しています。
データ流出

いったんデータがステージングされると、プレイアクターはWinSCPのようなツールを使用して、盗んだデータを暗号化されたチャネルを介して安全にインフラストラクチャに送信します。これらのファイルは通常、被害者のドメイン外でホストされている攻撃者が管理する環境に保存されます。このグループは、暗号化が始まる前に、トラフィック監視ソリューションを回避し、データ抽出速度を最大化するために、複数の転送方法を使用しています。

ひび割れた画面の背後には混沌としたデジタルの街並みが描かれており、サービスの中断、データの破壊、金銭的損失など、サイバー攻撃の破壊的影響を象徴している。
インパクト

Play ランサムウェアは 二重強要 モデル:データを盗んだ後、被害者のファイルを暗号化し、通常は@gmx.deまたは@web.deのユニークなアドレスに結びついた電子メール通信を通じて支払いを要求する。暗号化されたファイルは PLAY 拡張子で、身代金のメモが公開ディレクトリに残されている。支払いが行われない場合、グループはTorホスティングのリークサイトで盗まれたデータをリークすると脅す。場合によっては、オープンソースのインテリジェンスを通じて発見されたヘルプデスクや顧客サービスラインなど、組織の電話番号に電話をかけて圧力を強める。

MITRE ATT&CK マッピング

が使用するTTPPLAY

TA0001: Initial Access
T1190
Exploit Public-Facing Application
T1133
External Remote Services
T1078
Valid Accounts
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
T1078
Valid Accounts
TA0004: Privilege Escalation
T1484
Group Policy Modification
T1078
Valid Accounts
TA0005: Defense Evasion
T1070
Indicator Removal
T1562
Impair Defenses
T1484
Group Policy Modification
T1078
Valid Accounts
TA0006: Credential Access
T1552
Unsecured Credentials
T1003
OS Credential Dumping
TA0007: Discovery
T1518
Software Discovery
T1016
System Network Configuration Discovery
TA0008: Lateral Movement
T1570
Lateral Tool Transfer
TA0009: Collection
T1560
Archive Collected Data
TA0011: Command and Control
No items found.
TA0010: Exfiltration
T1048
Exfiltration Over Alternative Protocol
TA0040: Impact
T1657
Financial Theft
T1486
Data Encrypted for Impact
プラットフォーム検出

検知 PLAY Vectra AIを使う方法

ランサムウェア攻撃を示すVectra AI Platform で利用可能な検出のリスト。

AWS Logging Disabled

AWS Ransomware S3 Activity

AWS Root Credential Usage

AWS Security Tools Disabled

AWS Suspect Admin Privilege Granting

AWS Suspect Credential Access from EC2

もっと見る
攻撃の危険性を評価する

貴社はPLAYランサムウェア攻撃に対して安全ですか?

攻撃の危険性を評価する

よくあるご質問(FAQ)

PLAY ランサムウェア・グループとは?

PLAY ランサムウェアはどのようにしてシステムに感染するのか?

PLAY ランサムウェア攻撃によるリスクが最も高いのはどの分野か?

PLAY ランサムウェアに関連する侵害の指標(IoC)とは?

SOCチームはどのように検知 、PLAY ランサムウェアに対応できるのか?

PLAY ランサムウェア感染を防ぐためのベストプラクティスとは?

PLAY ランサムウェアによって暗号化されたデータは、身代金を支払わずに復号化できますか?

PLAY 、ランサムウェアグループは財務的にどのように運営されているのだろうか?

PLAY ランサムウェア攻撃に対するレスポンス 計画には何を含めるべきか?

PLAY ランサムウェア攻撃後、組織は法執行機関とどのように協力できるのか?