Ransomware Play
¿Qué es Ransomware Play?
Ransomware PlayGrupo de ransomware de doble extorsion, tambien conocido como PlayCrypt, activo desde mediados de 2022 y reconocido por explotar vulnerabilidades de Microsoft Exchange y Fortinet.
Play, tambien rastreado como PlayCrypt, aparecio en junio de 2022 y se ha convertido en uno de los grupos de ransomware mas activos contra organizaciones norteamericanas y europeas. Cobro notoriedad a finales de 2022 al atacar la ciudad de Amberes y el poder judicial argentino de Cordoba. CISA, el FBI y el ACSC australiano publicaron el aviso conjunto AA23-352A en diciembre de 2023, actualizado en 2024, atribuyendo a Play mas de 300 incidentes conocidos. El grupo aprovecha fallos de Fortinet FortiOS (CVE-2018-13379, CVE-2020-12812), Exchange ProxyNotShell (CVE-2022-41040 y CVE-2022-41082) y credenciales VPN robadas. Cifra archivos con AES-RSA y los renombra con extension .play; la negociacion se hace por correo electronico, no por un portal Tor.
● Ejemplos
- 01
Ataque de diciembre de 2022 contra los sistemas de la ciudad de Amberes por Play.
- 02
Aviso AA23-352A de CISA/FBI/ACSC que documenta mas de 300 incidentes de Play hasta 2023.
● Preguntas frecuentes
¿Qué es Ransomware Play?
Grupo de ransomware de doble extorsion, tambien conocido como PlayCrypt, activo desde mediados de 2022 y reconocido por explotar vulnerabilidades de Microsoft Exchange y Fortinet. Pertenece a la categoría de Malware en ciberseguridad.
¿Qué significa Ransomware Play?
Grupo de ransomware de doble extorsion, tambien conocido como PlayCrypt, activo desde mediados de 2022 y reconocido por explotar vulnerabilidades de Microsoft Exchange y Fortinet.
¿Cómo funciona Ransomware Play?
Play, tambien rastreado como PlayCrypt, aparecio en junio de 2022 y se ha convertido en uno de los grupos de ransomware mas activos contra organizaciones norteamericanas y europeas. Cobro notoriedad a finales de 2022 al atacar la ciudad de Amberes y el poder judicial argentino de Cordoba. CISA, el FBI y el ACSC australiano publicaron el aviso conjunto AA23-352A en diciembre de 2023, actualizado en 2024, atribuyendo a Play mas de 300 incidentes conocidos. El grupo aprovecha fallos de Fortinet FortiOS (CVE-2018-13379, CVE-2020-12812), Exchange ProxyNotShell (CVE-2022-41040 y CVE-2022-41082) y credenciales VPN robadas. Cifra archivos con AES-RSA y los renombra con extension .play; la negociacion se hace por correo electronico, no por un portal Tor.
¿Cómo defenderse de Ransomware Play?
Las defensas contra Ransomware Play combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Ransomware Play?
Nombres alternativos comunes: PlayCrypt, Grupo Play.
● Términos relacionados
- malware№ 900
Ransomware
Malware que cifra los datos de la víctima o bloquea sus sistemas y exige un pago a cambio de restaurar el acceso.
- malware№ 902
Ransomware como servicio (RaaS)
Modelo de negocio criminal en el que los operadores de ransomware alquilan su malware e infraestructura a afiliados, que ejecutan los ataques y comparten las ganancias.