PLAY
最近、ランサムウェア・アズ・ア・サービス(RaaS)モデルに移行したPLAY (別名PlayCrypt)は、現在世界中のマネージド・サービス・プロバイダー(MSP)を標的としており、300以上の事業体が被害を受けている。
ターゲット
PLAYターゲット
対象国PLAY
同グループは、主にドイツでのサイバー攻撃に重点を置いているが、米国、ブラジル、アルゼンチン、ポルトガル、ベルギー、スイスでも標的を拡大している。
ソース トレンドマイクロ
PLAY犠牲者
現在までに436人以上の被害者がこの悪質な作戦の餌食になっている。
ソース ランサムウェア・ライブ
攻撃方法
PLAY攻撃方法
PLAY は、正規のアカウントを使用してアクセスを取得し、FortiOS および Microsoft Exchange の脆弱性を悪用します。
PLAY は、Mimikatzのようなツールを使って権限を昇格させ、ユーザーを管理者グループに追加する。
PLAY アンチウイルスプログラムを無効にし、ログを消去し、断続的な暗号化を行うことで防御を回避する。
PLAY はMimikatzを使用して認証情報をダンプし、Cobalt Strike と Empirerのモジュールとして実行される。
PLAY AdFindとBloodhoundを使用したActive Directoryクエリ、Grixbaを使用したネットワーク列挙を実施。
PLAY は、Cobalt Strike と SystemBC を使用して横方向に広がり、グループ・ポリシー・オブジェクトを介してファイルを実行する。
PLAY は、Empire、System BC、Cobalt Strike 、PsExec、および実行用のバッチファイルを展開します。
流出と暗号化のために、PLAY 、データをセグメント化し、WinRARとWinSCPを使用し、「.play」拡張子でAES-RSAハイブリッド暗号化を採用している。
PLAY 、暗号通貨の身代金を要求し、支払われなければデータ漏洩を脅すという二重の恐喝戦術でシステムに影響を与える。
初期アクセス
PLAY は、正規のアカウントを使用してアクセスを取得し、FortiOS および Microsoft Exchange の脆弱性を悪用します。
特権エスカレーション
PLAY は、Mimikatzのようなツールを使って権限を昇格させ、ユーザーを管理者グループに追加する。
防御回避
PLAY アンチウイルスプログラムを無効にし、ログを消去し、断続的な暗号化を行うことで防御を回避する。
クレデンシャル・アクセス
PLAY はMimikatzを使用して認証情報をダンプし、Cobalt Strike と Empirerのモジュールとして実行される。
ディスカバリー
PLAY AdFindとBloodhoundを使用したActive Directoryクエリ、Grixbaを使用したネットワーク列挙を実施。
横の動き
PLAY は、Cobalt Strike と SystemBC を使用して横方向に広がり、グループ・ポリシー・オブジェクトを介してファイルを実行する。
コレクション
実行
PLAY は、Empire、System BC、Cobalt Strike 、PsExec、および実行用のバッチファイルを展開します。
データ流出
流出と暗号化のために、PLAY 、データをセグメント化し、WinRARとWinSCPを使用し、「.play」拡張子でAES-RSAハイブリッド暗号化を採用している。
インパクト
PLAY 、暗号通貨の身代金を要求し、支払われなければデータ漏洩を脅すという二重の恐喝戦術でシステムに影響を与える。
MITRE ATT&CK マッピング
が使用するTTPPLAY
PLAY 戦略的にバックアップシステムを攻撃し、被害者にデータ復旧の選択肢を残さないようにし、バックアップ機能を排除する綿密な戦略を採用している。
TA0001: Initial Access
T1190
Exploit Public-Facing Application
T1133
External Remote Services
T1078
Valid Accounts
TA0002: Execution
No items found.
TA0003: Persistence
T1078
Valid Accounts
TA0004: Privilege Escalation
T1484
Group Policy Modification
T1078
Valid Accounts
TA0005: Defense Evasion
T1070
Indicator Removal
T1562
Impair Defenses
T1484
Group Policy Modification
T1078
Valid Accounts
TA0006: Credential Access
T1552
Unsecured Credentials
T1003
OS Credential Dumping
TA0007: Discovery
T1518
Software Discovery
T1016
System Network Configuration Discovery
TA0008: Lateral Movement
T1570
Lateral Tool Transfer
TA0009: Collection
T1560
Archive Collected Data
TA0011: Command and Control
No items found.
TA0010: Exfiltration
T1048
Exfiltration Over Alternative Protocol
TA0040: Impact
T1657
Financial Theft
T1486
Data Encrypted for Impact
プラットフォーム検出
検知 PLAY Vectra AIを使う方法
ランサムウェア攻撃を示すVectra AI Platform で利用可能な検出のリスト。
よくあるご質問(FAQ)
PLAY ランサムウェア・グループとは?
PLAY Ransomware Groupは、被害者のファイルを暗号化するランサムウェアを展開し、復号化キーに対する身代金の支払いを要求することで知られるサイバー犯罪組織である。彼らは、セキュリティ体制が脆弱な組織を標的にすることが多い。
PLAY ランサムウェアはどのようにしてシステムに感染するのか?
PLAY ランサムウェアは通常、フィッシングメール、エクスプロイト・キット、侵害された認証情報を介してシステムに感染し、脆弱性を悪用してアクセスし、ペイロードを展開します。
PLAY ランサムウェア攻撃によるリスクが最も高いのはどの分野か?
PLAY ランサムウェアは幅広いセクターを標的にしているが、重要インフラ、ヘルスケア、金融サービスは、そのデータの機密性の高さから、特に被害を受けやすい。
PLAY ランサムウェアに関連する侵害の指標(IoC)とは?
PLAY ランサムウェアの IoC には、異常なネットワークトラフィック、疑わしいレジストリキーの変更、ランサムノート、およびmalware に関連するファイル拡張子などが含まれます。
SOCチームはどのように検知 、PLAY ランサムウェアに対応できるのか?
SOCチームは、高度な脅威検知ソリューションを採用し、定期的なネットワーク・トラフィック分析を実施し、脅威検知システムとレスポンス。感染したシステムを直ちに隔離し、レスポンス プランを実行することが重要である。
PLAY ランサムウェア感染を防ぐためのベストプラクティスとは?
ベストプラクティスには、ソフトウェアの定期的なアップデート、従業員のサイバーセキュリティ意識向上トレーニング、強固な電子メールフィルタリング、フィッシングおよびクレデンシャルの漏洩から保護するための多要素認証(MFA)の使用などが含まれる。
PLAY ランサムウェアによって暗号化されたデータは、身代金を支払わずに復号化できますか?
PLAY ランサムウェアの特定の復号化ツールが常に利用できるとは限りませんが、身代金の支払いを検討する前に、サイバーセキュリティの専門家に相談し、類似のランサムウェア亜種の利用可能な復号化ツールを調べることをお勧めします。
PLAY 、ランサムウェアグループは財務的にどのように運営されているのだろうか?
PLAY グループは身代金モデルで活動し、多くの場合暗号通貨での支払いを要求する。また、身代金を支払わなければ盗まれたデータを漏らすと脅すなど、二重の恐喝戦術をとることもあります。
PLAY ランサムウェア攻撃に対するレスポンス 計画には何を含めるべきか?
レスポンス 計画には、影響を受けたシステムの即時隔離、ランサムウェアの系統の特定、通信プロトコル、バックアップからのデータ復旧手順、身代金支払いに関する法的考慮事項などを含める必要がある。
PLAY ランサムウェア攻撃後、組織は法執行機関とどのように協力できるのか?
組織は、地域または国のサイバーセキュリティ当局にインシデントを報告し、進行中の業務またはデータプライバシー法を損なうことなく、攻撃に関する詳細な情報を提供すべきである。