• Ciberseguridad

Ransomware PLAY | 16 estrategias de prevención y respuesta

Ransomware play

Hablemos de “novedades” y todo porque necesitamos actualizarnos, esta vez sobre el Ransomware PLAY. El panorama de la ciberseguridad está en constante evolución, y con él, emergen nuevas amenazas, hoy hablaremos sobre una de las más recientes y preocupantes. 

También es conocido como PlayCrypt, el ransomware PLAY es un tipo de malware que ataca sistemas Windows y que fue detectado inicialmente en julio de 2022. Su primer caso conocido públicamente ocurrió en agosto de 2022, cuando se informó que el Poder Judicial de Córdoba, Argentina, había sido atacado por este ransomware.

¿Qué es Ransomware PLAY?

El Ransomware PLAY representa una evolución en el malware de cifrado, destacando por su sofisticación y métodos de ataque avanzados. Los responsables de PLAY utilizan una técnica de doble extorsión, que consiste en robar información sensible antes de cifrar los sistemas de la víctima y luego amenazar con publicar estos datos para forzar el pago del rescate. Los métodos preferidos de infiltración incluyen la explotación de vulnerabilidades en equipos Fortinet SSL VPN o Exchange, así como el uso de credenciales legítimas obtenidas de mercados ilegales.

Cómo opera Ransomware PLAY: mecanismos y tácticas de infección

PLAY es un ransomware desarrollado en Visual C++, no emplea ofuscación por software de empaquetado, pero utiliza técnicas de ofuscación en el flujo del programa y oculta las API para dificultar la ingeniería inversa y evadir antivirus. 

Aunque sus tácticas son similares a las de Hive o Nokoyawa, su código es único. Utiliza cifrado RSA y AES, con generación de claves aleatorias seguras, haciendo casi imposible recuperar los archivos sin pagar el rescate. Por su impacto creciente, Ransomware PLAY es considerado una amenaza significativa. Acá te cuento detalladamente sobre su forma de operar:

1. Ataques de Phishing

El método más común de distribución de ransomware sigue siendo el phishing. Los atacantes envían correos electrónicos que parecen legítimos pero contienen enlaces maliciosos o archivos adjuntos. Estos correos suelen imitar comunicaciones de empresas confiables o instituciones conocidas para engañar a los usuarios y hacer que descarguen y ejecuten el malware.

  • Archivos adjuntos infectados: Los correos electrónicos pueden contener documentos de Office (como Word o Excel) con macros maliciosas, archivos comprimidos (ZIP, RAR) que contienen el ejecutable del Ransomware, o archivos PDF con enlaces a sitios web maliciosos.
  • Enlaces maliciosos: Los correos electrónicos pueden incluir enlaces que dirigen a los usuarios a sitios web comprometidos que ejecutan scripts para descargar el Ransomware automáticamente.

2. Exploits y vulnerabilidades de software

El ransomware PLAY también puede aprovechar vulnerabilidades conocidas en software y sistemas operativos para infiltrarse en las redes.

  • Kits de exploits: Estos kits son herramientas automatizadas que buscan y explotan vulnerabilidades en el software del usuario. Una vez que encuentran una vulnerabilidad, pueden descargar e instalar el Ransomware sin necesidad de interacción del usuario.
  • Vulnerabilidades no parcheadas: Las empresas que no actualizan regularmente su software y sistemas operativos son particularmente vulnerables. Los atacantes buscan puntos débiles conocidos y los explotan para ganar acceso y desplegar el Ransomware.

3. Redes y protocolos inseguros

El ransomware PLAY puede propagarse a través de redes inseguras y protocolos mal configurados.

  • Protocolo de escritorio remoto (RDP): RDP es un objetivo frecuente para los atacantes, ya que a menudo se configura con contraseñas débiles o sin autenticación multifactor. Una vez que los atacantes acceden al RDP, pueden moverse lateralmente a través de la red y desplegar el Ransomware.
  • SMB (Server Message Block): Las redes que usan SMB para compartir archivos y recursos son vulnerables si no están adecuadamente protegidas. Los atacantes pueden usar exploits como EternalBlue para propagarse a través de la red.

4. Ingeniería social

La ingeniería social es una táctica clave en muchos ataques de ransomware, incluyendo PLAY.

  • Llamadas telefónicas y mensajes de texto: Los atacantes pueden hacerse pasar por personal de soporte técnico o representantes de empresas confiables para convencer a los usuarios de que instalen software malicioso.
  • Sitios web falsos: Los atacantes crean sitios web que parecen legítimos y engañan a los usuarios para que descarguen e instalen el Ransomware. Estos sitios pueden imitar portales de inicio de sesión, sitios de descarga de software o servicios en línea.

5. Troyanos y descargas Drive-By

Los troyanos y las descargas drive-by son métodos adicionales que los atacantes utilizan para infectar sistemas con ransomware PLAY.

  • Troyanos: Los troyanos son programas maliciosos que se disfrazan de software legítimo. Una vez instalados, descargan e instalan el ransomware sin el conocimiento del usuario.
  • Descargas Drive-By: Estos ataques ocurren cuando un usuario visita un sitio web comprometido que automáticamente descarga e instala el Ransomware sin necesidad de interacción.

6. Tácticas de doble extorsión

Además de cifrar los datos, los atacantes detrás del ransomware PLAY también pueden exfiltrar datos sensibles y amenazar con publicarlos si no se paga el rescate.

  • Robo de datos: Antes de cifrar los archivos, el Ransomware puede copiar datos sensibles y transferirlos a los servidores controlados por los atacantes.
  • Amenazas de publicación: Los atacantes utilizan la amenaza de publicar datos robados como una presión adicional para que las víctimas paguen el rescate, lo que se conoce como doble extorsión.

7. Desactivación de copias de seguridad y sistemas de seguridad

Para aumentar la efectividad del ataque, el Ransomware PLAY intenta deshabilitar las medidas de seguridad y las copias de seguridad.

  • Deshabilitar antivirus y antimalware: El Ransomware puede intentar desactivar programas de seguridad para evitar ser detectado y eliminado.
  • Borrar copias de seguridad: El Ransomware PLAY puede buscar y eliminar copias de seguridad locales y en la nube para dificultar la recuperación de los datos sin pagar el rescate.
Ransomware play 1

El ransomware PLAY utiliza una combinación de técnicas sofisticadas y tácticas psicológicas para infiltrarse en sistemas y redes, cifrar datos y extorsionar a las víctimas. La prevención y mitigación de estos ataques requiere una combinación de buenas prácticas de ciberseguridad, incluyendo la educación del usuario, la aplicación de parches de seguridad, el uso de contraseñas fuertes y la implementación de soluciones de seguridad avanzadas. Mantenerse informado sobre las tácticas y mecanismos de infección utilizados por el Ransomware es crucial para proteger a las organizaciones y minimizar el impacto de estos ataques devastadores.

Impacto del Ransomware PLAY en las organizaciones

Considero crucial destacar el informe emitido por la Oficina Federal de Investigación (FBI) en colaboración con la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y el Centro Australiano de Ciberseguridad (ACSC), el siguiente informe que revela que la banda de ransomware Play ha comprometido aproximadamente a 300 organizaciones a nivel mundial, entre junio de 2022 y octubre de 2023. 

El alcance geográfico del impacto de Play es notable, afectando a una variedad de organizaciones en América del Norte, América del Sur y Europa. Este patrón de ataque demuestra la capacidad del grupo para operar a una escala global y su enfoque en objetivos de alto valor. La mención específica de infraestructuras críticas es particularmente alarmante, ya que sugiere un potencial riesgo no solo para la seguridad de la información, sino también para la seguridad y el bienestar público.

El conocimiento del FBI sobre las actividades de este grupo, y la colaboración entre agencias gubernamentales internacionales, subraya la seriedad de esta amenaza y la necesidad de una respuesta coordinada y eficiente en ciberseguridad. Este aviso conjunto no solo sirve como una alerta para las organizaciones potencialmente en riesgo, sino también como un llamado a la acción para reforzar las medidas de seguridad y estar vigilantes ante tácticas de Ransomware como las empleadas por el Ransomware Play.

Ahora, muchos saben que en la web existen descifradores de Ransomware incluso gratuitos. Acá te explicamos por qué uno utilizarlos y es mucho mejor contactar a expertos con una larga trayectoria como nosotros.

Estrategias de prevención y respuesta ante el Ransomware PLAY

Enfocándome en cómo las organizaciones pueden blindarse contra este tipo de ataques, me gustaría compartirles algunas recomendaciones sobre políticas de seguridad, software de protección, prácticas de respaldo y formación de empleados:

  1. Crea reglas personalizadas para bloquear IOC en perfiles de seguridad perimetrales.
  2. No abras archivos de Office con macros sin confirmación y verificación de seguridad (cifrado, contraseñas seguras, confirmación directa del remitente).
  3. Aplica el principio de menor privilegio con cuentas de usuario estándar y de administrador separadas.
  4. Esté alerta y evite extensiones de archivo como “exe”, “vbs”, “scr” para prevenir archivos maliciosos.
  5. Identifica campañas de phishing por errores ortográficos o de diseño y revise los correos cuidadosamente.
  6. Desconfía de correos que crean urgencia o presión, son posibles señales de phishing.
  7. Usa sistemas antispam en correos electrónicos para minimizar riesgos de infecciones por malspam.
  8. Proteja el protocolo RDP
  9. Implemente políticas de respaldo periódico fuera de la red organizacional.
  10. Usa antivirus para escanear archivos adjuntos antes de abrirlos.
  11. Mantén estrategias de respaldo de información aisladas y con políticas de seguridad.
  12. Actualiza constantemente los sistemas operativos Windows.
  13. No desactives funciones de seguridad siguiendo instrucciones de correos o documentos sospechosos.
  14. Crea políticas de seguridad que bloqueen la ejecución de archivos desde directorios vulnerables.
  15. Restringe privilegios de escritura en unidades mapeadas en red para limitar el impacto de cifrados de ransomware.
  16. Sigue las normativas como ISO 27001:2013 y NIST PR.AT-1 para educar y capacitar a usuarios en seguridad de la información y el manejo seguro de correos electrónicos.

Estamos comprometidos en la lucha constante contra la ciberdelincuencia, si su organización ha sido atacada o considera que tiene algunas falencias en la parte de ciberseguridad, contáctenos. Recuerde, los datos son el activo más importante después del capital humano.

Otros artículos