Die Play-Ransomware begann ihre Aktivitäten im Juni 2022. Seitdem sind viele Unternehmen und staatliche Einrichtungen der Play-Ransomware zum Opfer gefallen.
Darunter auch die Justizbehörde von Córdoba, Argentinien. Ein großer Fall, bei dem Unternehmen wie Microsoft, Cisco und Trend Micro an der Untersuchung des Angriffs beteiligt waren.
Aufgrund des Vorfalls musste das IT-System des Gerichts von Córdoba vorübergehend geschlossen werden, und die Mitarbeiter verwendeten wieder Stift und Papier, um offizielle Dokumente zu versenden.
Im März war die Justiz von Córdoba bereits Opfer eines Angriffs durch die Ransomware Lapsus$ geworden, bei dem die E-Mails der Mitarbeiter durchsickerten. Der genaue Einstiegspunkt dieses jüngsten Angriffs ist nicht bekannt, aber die Forscher vermuten, dass die Play-Gruppe möglicherweise durchgesickerte E-Mails verwendet hat, um Phishing-Kampagnen durchzuführen und Zugangsdaten zu stehlen.
Auf der Grundlage der jüngsten Angriffe der Play-Gruppe, einschließlich des Angriffs auf die Justizbehörde von Cordoba, können wir einige Merkmale der Play-Ransomware analysieren.
Wir wissen, dass die bei den Angriffen der Play-Gruppe verwendete Verschlüsselung sehr robust ist. Tatsächlich verwendet die Malware eine hybride RSA- und AES-Verschlüsselung, die die Stärken beider Verschlüsselungstypen kombiniert.
Darüber hinaus ist die ausführbare Datei der Ransomware mit verschiedenen Anti-Analyse-Techniken stark verschleiert, wodurch die Play-Ransomware für Virenschutzprogramme schnell unsichtbar wird.
Mit diesen Techniken ist die Ransomware in der Lage, ihre gesamte Verschlüsselungs- und Lateralisierungsarbeit durchzuführen, um maximalen Schaden auf dem System des Opfers zu verursachen. Und das alles, ohne dass der Benutzer oder der Rechner Verdacht schöpft.
Nachdem die Datei verschlüsselt wurde, fügt die Ransomware dem ursprünglichen Dateinamen die Erweiterung „.play“ hinzu. Sobald die Datei umbenannt ist, wird sie unzugänglich.
Bislang sind keine Dateien aus der Play-Gruppe bekannt geworden, die angeblich bei Angriffen gestohlen wurden. Daraus schließen die Forscher, dass die Daten vor der Verschlüsselung vielleicht gar nicht gestohlen werden.
Diese Vermutung wird durch die Lösegeldforderung untermauert, die die Angreifer im Stammverzeichnis der Festplatte (C:) hinterlassen haben. Bei Ransomware-Angriffen ist es üblich, dass die Angreifer eine Lösegeldnotiz mit Anweisungen zur Kontaktaufnahme mit der Gruppe, zur Zahlung des Lösegelds und natürlich mit bestimmten schlimmen Drohungen wie dem Druck zur Zahlung des Lösegelds hinterlassen.
Die Gruppe, die hinter der Play-Ransomware steckt, hat sich jedoch für einen ganz anderen Ansatz entschieden. Zwar wird in der Umgebung eine Textdatei ReadMe.txt erzeugt, doch ihr Inhalt ist lächerlich kurz und besteht aus zwei einfachen Zeilen. Name, Kontakt-E-Mail und sonst nichts.
Von Ransomware verschlüsselte Dateien wiederherstellen Play
Digital Recovery ist seit über 23 Jahren auf dem Datenrettungsmarkt tätig und gilt heute als eine der besten Alternativen bei Ransomware-Angriffen.
Mit Niederlassungen in 6 Ländern konnten wir Hunderten von Opfern von Ransomware-Angriffen auf der ganzen Welt mit unserem Support und unserer Technologie helfen.
Wir haben einzigartige Lösungen entwickelt, die es uns ermöglichen, mit Ransomware verschlüsselte Daten auf jedem Speichermedium wie Datenbanken, Servern, RAID-Systemen, virtuellen Maschinen, Speichern und anderen wiederherzustellen.
Unser Team besteht aus effizienten Fachleuten, die sich mit Leidenschaft neuen Herausforderungen stellen.
Wir legen Wert auf Vertraulichkeit und handeln im Projekt mit der notwendigen Geheimhaltung, weil wir wissen, wie wertvoll die Daten eines Unternehmens sind. Wir halten uns an das Allgemeine Datenschutzgesetz (LGPD) und bieten unseren Kunden selbstverständlich eine Vertraulichkeitsvereinbarung (NDA) an.
In den meisten Fällen arbeiten wir komplett aus der Ferne. Wo auch immer Sie sich befinden, Digital Recovery hat vielleicht die richtige Lösung für Sie.
Wenden Sie sich einfach an unser Team, und wir werden eine fortschrittliche Diagnose für die Wiederherstellung Ihrer Daten durchführen.
