Play-Ransomware
Was ist Play-Ransomware?
Play-RansomwareDoppelte Erpressungsgruppe, auch PlayCrypt genannt, seit Mitte 2022 aktiv und bekannt fuer Exploits in Microsoft Exchange und Fortinet.
Play, ebenfalls als PlayCrypt verfolgt, tauchte im Juni 2022 auf und entwickelte sich zu einer der aktivsten Ransomware-Gruppen gegen nordamerikanische und europaeische Organisationen. Ende 2022 erlangte sie durch Angriffe auf die Stadt Antwerpen und die argentinische Justiz von Cordoba grosse Aufmerksamkeit. CISA, FBI und das australische ACSC veroeffentlichten im Dezember 2023 die gemeinsame Warnung AA23-352A (Update 2024) und schrieben Play mehr als 300 bekannte Vorfaelle zu. Die Gruppe nutzt Fortinet-FortiOS-Luecken (CVE-2018-13379, CVE-2020-12812), Exchange ProxyNotShell (CVE-2022-41040 und CVE-2022-41082) sowie gestohlene VPN-Zugaenge. Dateien werden mit AES-RSA verschluesselt und mit der Endung .play versehen; verhandelt wird per E-Mail statt ueber ein Tor-Portal.
● Beispiele
- 01
Angriff auf die Stadt Antwerpen im Dezember 2022 durch Play.
- 02
CISA/FBI/ACSC-Advisory AA23-352A mit 300+ Play-Vorfaellen bis 2023.
● Häufige Fragen
Was ist Play-Ransomware?
Doppelte Erpressungsgruppe, auch PlayCrypt genannt, seit Mitte 2022 aktiv und bekannt fuer Exploits in Microsoft Exchange und Fortinet. Es gehört zur Kategorie Schadsoftware der Cybersicherheit.
Was bedeutet Play-Ransomware?
Doppelte Erpressungsgruppe, auch PlayCrypt genannt, seit Mitte 2022 aktiv und bekannt fuer Exploits in Microsoft Exchange und Fortinet.
Wie funktioniert Play-Ransomware?
Play, ebenfalls als PlayCrypt verfolgt, tauchte im Juni 2022 auf und entwickelte sich zu einer der aktivsten Ransomware-Gruppen gegen nordamerikanische und europaeische Organisationen. Ende 2022 erlangte sie durch Angriffe auf die Stadt Antwerpen und die argentinische Justiz von Cordoba grosse Aufmerksamkeit. CISA, FBI und das australische ACSC veroeffentlichten im Dezember 2023 die gemeinsame Warnung AA23-352A (Update 2024) und schrieben Play mehr als 300 bekannte Vorfaelle zu. Die Gruppe nutzt Fortinet-FortiOS-Luecken (CVE-2018-13379, CVE-2020-12812), Exchange ProxyNotShell (CVE-2022-41040 und CVE-2022-41082) sowie gestohlene VPN-Zugaenge. Dateien werden mit AES-RSA verschluesselt und mit der Endung .play versehen; verhandelt wird per E-Mail statt ueber ein Tor-Portal.
Wie schützt man sich gegen Play-Ransomware?
Schutzmaßnahmen gegen Play-Ransomware kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Play-Ransomware?
Übliche alternative Bezeichnungen: PlayCrypt, Play-Gruppe.
● Verwandte Begriffe
- malware№ 900
Ransomware
Schadsoftware, die Daten des Opfers verschlüsselt oder Systeme sperrt und für die Wiederherstellung des Zugriffs ein Lösegeld fordert.
- malware№ 902
Ransomware-as-a-Service (RaaS)
Ein kriminelles Geschäftsmodell, bei dem Ransomware-Betreiber ihre Malware und Infrastruktur an Affiliates vermieten, die die Angriffe ausführen und die Beute teilen.