PLAY
最近、ランサムウェア・アズ・ア・サービス(RaaS)モデルに移行したPLAY (別名PlayCrypt)は、現在世界中のマネージド・サービス・プロバイダー(MSP)を標的としており、300以上の事業体が被害を受けている。

その起源PLAY
ロシア系のサイバー犯罪組織に特徴的な暗号化技術を使用していることから、ロシアとの関係が疑われるランサムウェアグループ「PLAY 」は、2022年に暗号化活動に特徴的な「.play」ファイル拡張子で登場した。
PLAY はHiveやNokayawaと共通点がある。特筆すべき共通点は、Active Directoryからデータを収集するために設計されたコマンドラインユーティリティであるAdFindを利用していることであり、これは両者の運用行動が似ていることを強調している。

対象国PLAY
当初はドイツとヨーロッパを中心にサイバー攻撃を行っていたが、その後、アメリカ、ブラジル、アルゼンチン、メキシコ、オーストラリア全域の標的を危険にさらすまでに手を広げている。

PLAY犠牲者
PLAY攻撃方法

PLAY は、正規のアカウントを使用してアクセスを取得し、FortiOS および Microsoft Exchange の脆弱性を悪用します。

PLAY は、Mimikatzのようなツールを使って権限を昇格させ、ユーザーを管理者グループに追加する。

PLAY アンチウイルスプログラムを無効にし、ログを消去し、断続的な暗号化を行うことで防御を回避する。

PLAY はMimikatzを使用して認証情報をダンプし、Cobalt Strike と Empirerのモジュールとして実行される。

PLAY AdFindとBloodhoundを使用したActive Directoryクエリ、Grixbaを使用したネットワーク列挙を実施。

PLAY は、Cobalt Strike と SystemBC を使用して横方向に広がり、グループ・ポリシー・オブジェクトを介してファイルを実行する。


PLAY は、Empire、System BC、Cobalt Strike 、PsExec、および実行用のバッチファイルを展開します。

流出と暗号化のために、PLAY 、データをセグメント化し、WinRARとWinSCPを使用し、「.play」拡張子でAES-RSAハイブリッド暗号化を採用している。

PLAY 、暗号通貨の身代金を要求し、支払われなければデータ漏洩を脅すという二重の恐喝戦術でシステムに影響を与える。

PLAY は、正規のアカウントを使用してアクセスを取得し、FortiOS および Microsoft Exchange の脆弱性を悪用します。

PLAY は、Mimikatzのようなツールを使って権限を昇格させ、ユーザーを管理者グループに追加する。

PLAY アンチウイルスプログラムを無効にし、ログを消去し、断続的な暗号化を行うことで防御を回避する。

PLAY はMimikatzを使用して認証情報をダンプし、Cobalt Strike と Empirerのモジュールとして実行される。

PLAY AdFindとBloodhoundを使用したActive Directoryクエリ、Grixbaを使用したネットワーク列挙を実施。

PLAY は、Cobalt Strike と SystemBC を使用して横方向に広がり、グループ・ポリシー・オブジェクトを介してファイルを実行する。


PLAY は、Empire、System BC、Cobalt Strike 、PsExec、および実行用のバッチファイルを展開します。

流出と暗号化のために、PLAY 、データをセグメント化し、WinRARとWinSCPを使用し、「.play」拡張子でAES-RSAハイブリッド暗号化を採用している。

PLAY 、暗号通貨の身代金を要求し、支払われなければデータ漏洩を脅すという二重の恐喝戦術でシステムに影響を与える。
が使用するTTPPLAY
検知 PLAY Vectra AIを使う方法
ランサムウェア攻撃を示すVectra AI Platform で利用可能な検出のリスト。
よくあるご質問(FAQ)
PLAY ランサムウェア・グループとは?
PLAY Ransomware Groupは、被害者のファイルを暗号化するランサムウェアを展開し、復号化キーに対する身代金の支払いを要求することで知られるサイバー犯罪組織である。彼らは、セキュリティ体制が脆弱な組織を標的にすることが多い。
PLAY ランサムウェアはどのようにしてシステムに感染するのか?
PLAY ランサムウェアは通常、フィッシングメール、エクスプロイト・キット、侵害された認証情報を介してシステムに感染し、脆弱性を悪用してアクセスし、ペイロードを展開します。
PLAY ランサムウェア攻撃によるリスクが最も高いのはどの分野か?
PLAY ランサムウェアは幅広いセクターを標的にしているが、重要インフラ、ヘルスケア、金融サービスは、そのデータの機密性の高さから、特に被害を受けやすい。
PLAY ランサムウェアに関連する侵害の指標(IoC)とは?
PLAY ランサムウェアの IoC には、異常なネットワークトラフィック、疑わしいレジストリキーの変更、ランサムノート、およびmalware に関連するファイル拡張子などが含まれます。
SOCチームはどのように検知 、PLAY ランサムウェアに対応できるのか?
SOCチームは、高度な脅威検知ソリューションを採用し、定期的なネットワーク・トラフィック分析を実施し、脅威検知システムとレスポンス。感染したシステムを直ちに隔離し、レスポンス プランを実行することが重要である。
PLAY ランサムウェア感染を防ぐためのベストプラクティスとは?
ベストプラクティスには、ソフトウェアの定期的なアップデート、従業員のサイバーセキュリティ意識向上トレーニング、強固な電子メールフィルタリング、フィッシングおよびクレデンシャルの漏洩から保護するための多要素認証(MFA)の使用などが含まれる。
PLAY ランサムウェアによって暗号化されたデータは、身代金を支払わずに復号化できますか?
PLAY ランサムウェアの特定の復号化ツールが常に利用できるとは限りませんが、身代金の支払いを検討する前に、サイバーセキュリティの専門家に相談し、類似のランサムウェア亜種の利用可能な復号化ツールを調べることをお勧めします。
PLAY 、ランサムウェアグループは財務的にどのように運営されているのだろうか?
PLAY グループは身代金モデルで活動し、多くの場合暗号通貨での支払いを要求する。また、身代金を支払わなければ盗まれたデータを漏らすと脅すなど、二重の恐喝戦術をとることもあります。
PLAY ランサムウェア攻撃に対するレスポンス 計画には何を含めるべきか?
レスポンス 計画には、影響を受けたシステムの即時隔離、ランサムウェアの系統の特定、通信プロトコル、バックアップからのデータ復旧手順、身代金支払いに関する法的考慮事項などを含める必要がある。
PLAY ランサムウェア攻撃後、組織は法執行機関とどのように協力できるのか?
組織は、地域または国のサイバーセキュリティ当局にインシデントを報告し、進行中の業務またはデータプライバシー法を損なうことなく、攻撃に関する詳細な情報を提供すべきである。