Ransomware Play

El ransomware Play comenzó sus actividades en junio de 2022. Desde entonces, muchas empresas e instituciones gubernamentales han sido víctimas del ransomware Play.

Entre ellos se encuentra el Poder Judicial de Córdoba, Argentina. Un caso de gran envergadura en el que participaron empresas como Microsoft, Cisco y Trend Micro para la investigación del ataque.

A causa del suceso, el sistema informático del Juzgado de Córdoba tuvo que cerrar temporalmente y los empleados volvieron a utilizar el bolígrafo y el papel para enviar los documentos oficiales.

En marzo, el Poder Judicial de Córdoba ya sufrió un ataque del ransomware Lapsus$, donde se filtraron los correos electrónicos de los empleados. Se desconoce el punto de entrada exacto de este reciente ataque, pero los investigadores conjeturan que el grupo Play puede haber utilizado correos electrónicos filtrados para realizar campañas de phishing y robar credenciales de acceso.

Basándonos en los recientes ataques del grupo Play, entre ellos el realizado al Poder Judicial de Córdoba, podemos analizar algunas características del ransomware Play.

Sabemos que el cifrado utilizado en los ataques del grupo Play es muy robusto. De hecho, el malware utiliza un cifrado híbrido de tipo RSA y AES, que combina los puntos fuertes de ambos tipos de cifrado.

Además, el ejecutable del ransomware está altamente ofuscado con varias técnicas anti-análisis, haciendo que el ransomware Play sea rápidamente invisible para los programas de protección antivirus.

Con estas técnicas, el ransomware es capaz de realizar todo su trabajo de cifrado y movimiento lateral para generar el máximo daño en el sistema de la víctima. Todo ello sin despertar ninguna sospecha por parte del usuario ni de la máquina.

Tras cifrar el archivo, el ransomware añade la extensión “.play” al nombre del archivo original. Una vez que el archivo es renombrado, se vuelve inaccesible.

Hasta ahora, no ha habido ninguna filtración del grupo Play de los archivos supuestamente robados durante los ataques. Lo que lleva a los investigadores a concluir que tal vez no hay robo de los datos antes de que se realice el cifrado.

Lo que refuerza esta idea es la nota de rescate dejada por los atacantes en la raíz del disco (C:\). Es habitual que en los ataques de ransomware se deje una nota de rescate con instrucciones sobre cómo contactar con el grupo, pagar el rescate y, por supuesto, ciertas amenazas funestas como la presión para pagar el rescate.

Sin embargo, el grupo detrás del ransomware Play ha optado por un enfoque muy diferente. Sí, se genera un archivo de texto ReadMe.txt en el entorno, pero su contenido es ridículamente corto y se reduce a dos simples líneas. Nombre, correo electrónico de contacto y nada más.

Recuperar los archivos encriptados por el ransomware Play

Digital Recovery lleva más de 23 años en el mercado de la recuperación de datos y se posiciona hoy como una de las mejores alternativas en el panorama de los ataques de ransomware.

Establecidos en 6 países, hemos podido aportar nuestro apoyo y tecnología para ayudar a cientos de víctimas de ataques de ransomware en todo el mundo.

Hemos sido capaces de desarrollar soluciones únicas que nos permiten recuperar los datos encriptados por el ransomware en cualquier dispositivo de almacenamiento como bases de datos, servidores, sistemas RAID, máquinas virtuales, almacenes y otros.

Nuestro equipo está compuesto por profesionales eficientes y apasionados por los nuevos retos.

Valoramos la confidencialidad y actuamos en el proyecto con el secreto necesario porque sabemos lo valiosos que son los datos de una empresa. Cumplimos con la General Data Protection Regulation (GDPR) y, por supuesto, proporcionamos a nuestros clientes un acuerdo de confidencialidad (NDA).

En la mayoría de los casos operamos completamente a distancia. Así que, esté donde esté, Digital Recovery puede tener la solución para usted.

Sólo tiene que ponerse en contacto con nuestro equipo y realizaremos un diagnóstico avanzado para la recuperación de sus datos.

Estamos
siempre en línea

Rellene el formulario o seleccione la forma que prefiera para ponerse en contacto con nosotros. Nos pondremos en contacto contigo para empezar a recuperar tus archivos.

Novedades de nuestros expertos

Mediante tecnologías únicas, Digital Recovery puede recuperar datos cifrados en cualquier dispositivo de almacenamiento, ofreciendo soluciones remotas en cualquier parte del mundo.

Descubra las vulnerabilidades invisibles de su TI con 4D Pentest de Digital Recovery