Il ransomware Play ha iniziato la sua attività nel giugno 2022. Da allora, molte aziende e istituzioni governative sono state vittime del ransomware Play.
Tra questi c’è la magistratura di Córdoba, in Argentina. Un caso di grandi dimensioni che ha coinvolto aziende come Microsoft, Cisco e Trend Micro per le indagini sull’attacco.
A causa dell’evento, il sistema informatico del Tribunale di Córdoba ha dovuto chiudere temporaneamente e i dipendenti hanno ripreso a usare carta e penna per inviare i documenti ufficiali.
A marzo, la magistratura di Córdoba aveva già subito un attacco da parte del ransomware Lapsus$, in cui erano trapelate le e-mail dei dipendenti. Non si conosce l’esatto punto di ingresso di questo recente attacco, ma i ricercatori ipotizzano che il gruppo Play possa aver utilizzato le e-mail trapelate per condurre campagne di phishing e rubare le credenziali di accesso.
Sulla base dei recenti attacchi del gruppo Play, tra cui quello al Potere Giudiziario di Cordoba, possiamo analizzare alcune caratteristiche del ransomware Play.
Sappiamo che la crittografia utilizzata negli attacchi di Play Group è molto robusta. Infatti, il malware utilizza una crittografia ibrida di tipo RSA e AES, combinando i punti di forza di entrambi i tipi di crittografia.
Inoltre, l’eseguibile del ransomware è altamente offuscato con varie tecniche di anti-analisi, rendendo rapidamente il ransomware Play invisibile ai programmi di protezione antivirus.
Grazie a queste tecniche, il ransomware è in grado di eseguire tutto il suo lavoro di crittografia e movimento laterale per generare il massimo danno sul sistema della vittima. Il tutto senza destare alcun sospetto da parte dell’utente o della macchina.
Dopo aver crittografato il file, il ransomware aggiunge l’estensione “.play” al nome del file originale. Una volta rinominato, il file diventa inaccessibile.
Finora non ci sono state fughe di notizie dal gruppo Play sui file presumibilmente rubati durante gli attacchi. Il che porta i ricercatori a concludere che forse non c’è furto di dati prima che la crittografia venga effettuata.
A rafforzare questa idea è la nota di riscatto lasciata dagli aggressori nella radice del disco (C:\). È comune che negli attacchi ransomware venga lasciata una nota di riscatto con le istruzioni su come contattare il gruppo, pagare il riscatto e, naturalmente, alcune minacce terribili come la pressione a pagare il riscatto.
Tuttavia, il gruppo dietro il ransomware Play ha optato per un approccio molto diverso. Sì, nell’ambiente viene generato un file di testo ReadMe.txt, ma il suo contenuto è ridicolmente breve e si riduce a due semplici righe. Nome, email di contatto e nient’altro.
Récupérer les fichiers cryptés par ransomware Play
Digital Recovery opera nel mercato del recupero dati da oltre 23 anni e si posiziona oggi come una delle migliori alternative nel panorama degli attacchi ransomware.
Con sede in 6 paesi, siamo stati in grado di portare il nostro supporto e la nostra tecnologia per aiutare centinaia di vittime di attacchi ransomware in tutto il mondo.
Siamo riusciti a sviluppare soluzioni uniche che ci permettono di recuperare i dati crittografati dal ransomware su qualsiasi dispositivo di archiviazione come database, server, sistemi RAID, macchine virtuali, archivi e altri.
Il nostro team è composto da professionisti efficienti e appassionati di nuove sfide.
Teniamo alla riservatezza e agiamo nel progetto con la necessaria segretezza perché sappiamo quanto siano preziosi i dati di un’azienda. Rispettiamo la General Data Protection Regulation (GDPR) e, naturalmente, forniamo ai nostri clienti un accordo di riservatezza (NDA).
Nella maggior parte dei casi operiamo completamente a distanza. Quindi, ovunque vi troviate, Digital Recovery può avere la soluzione che fa per voi.
Contattate il nostro team ed eseguiremo una diagnosi avanzata per il recupero dei vostri dati.
