Ransomware Play

O ransomware Play iniciou suas atividades em junho de 2022. Desde então, muitas empresas e instituições governamentais se tornaram vítimas do ransomware Play.

Dentre elas está o Poder Judiciário de Córdoba, na Argentina. Um caso grande que envolveu empresas como Microsoft, Cisco e Trend Micro para a investigação sobre o ataque.

Por causa do acontecimento, o sistema de TI do Tribunal de Córdoba teve que fechar temporariamente e os colaboradores retomaram o uso de papel e caneta para enviar documentos oficiais.

Em março, o Poder Judiciário de Córdoba já havia sofrido um ataque pelo ransomware Lapsus$, onde emails dos funcionários vazaram. Não se sabe exatamente o ponto de entrada desse ataque recente, mas pesquisadores supõem que o grupo Play pode ter usado e-mails vazados para realizarem campanhas de phishing e roubar credenciais de acesso.

Com base nos ataques recentes do grupo Play, incluindo o do Poder Judiciário de Córdoba, podemos analisar algumas características do ransomware Play.

Sabemos que a criptografia usada nos ataques do grupo Play é muito robusta. Na verdade, o malware usa uma criptografia do tipo híbrida RSA e AES, combinando os pontos fortes dos dois tipos de criptografia.

Além disso, o executável do ransomware é altamente ofuscado com várias técnicas de anti-análise, tornando rapidamente o ransomware Play invisível para os programas de proteção contra vírus.

Com essas técnicas, o ransomware consegue realizar todo o seu trabalho de encriptação e de movimento lateral para gerar o máximo de dano no sistema da vítima. Tudo isso sem despertar nenhuma suspeita da parte do usuário ou da máquina.

Após a encriptação do arquivo, o ransomware adiciona a extensão “.play” ao nome original do arquivo. Uma vez o arquivo renomeado, ele se torna inacessível.

Até então, não houve nenhum vazamento da parte do grupo Play de arquivos supostamente roubados durante ataques. O que leva os pesquisadores a concluírem que talvez não exista roubo dos dados antes da encriptação ser feita.

O que reforça essa ideia é a nota de resgate deixado pelos responsáveis do ataque na raiz do disco (C:\). É comum que em ataques de ransomware, os ataques deixam uma nota de resgate com instruções de como entrar em contato com o grupo, pagar o resgate e, claro, certas ameaças terríveis como pressão para que o resgate seja pago.

Entretanto, o grupo por trás do ransomware Play optou por uma aproximação bem diferente. Sim, um arquivo de texto ReadMe.txt é gerado no ambiente, porém seu conteúdo é ridiculamente curto e se resume em duas simples linhas. Nome, email de contato e nada mais.

Recuperar arquivos encriptados por ransomware Play

A Digital Recovery está no mercado de recuperação de dados há mais de 23 anos e se posiciona hoje como uma das melhores alternativas no cenário de ataque por ransomware.

Estabelecida em 6 países, conseguimos levar nosso apoio e tecnologia para ajudar centenas de empresas vítimas de ataque por ransomware pelo mundo.

Conseguimos desenvolver soluções únicas que nos permite recuperar ransomware em qualquer dispositivo de armazenamento, como banco de dados, servidores, sistemas RAID, máquinas virtuais, storages e outros.

Nossa equipe é composta de profissionais eficientes e apaixonados por novos desafios.

Prezamos pela confidencialidade e temos o agimos no projeto com o sigilo necessário pois sabemos o quão valiosos são os dados de uma empresa. Estamos de acordo com a Lei Geral de Proteção dos Dados (LGPD) e, claro, colocamos à disposição de nossos clientes um acordo de confidencialidade (NDA).

Atuamos na maioria dos casos de forma totalmente remota. Por isso, onde quer que você esteja, a Digital Recovery pode ter a solução para você.

Basta entrar em contato com nossa equipe e realizaremos um diagnóstico avançado para a recuperação de seus dados.

Estamos sempre online pelo WhatsApp

Caso prefira o formulário como forma de contato, preencha e retornaremos em breve.

Últimos insights dos nossos especialistas

Recuperar memoria flash

O Que é Memória Flash?

A memória Flash, desde sua invenção na década de 1980, revolucionou o armazenamento de dados digitais. Essencial para dispositivos móveis, câmeras digitais, unidades de armazenamento,

LEIA MAIS →

Através de tecnologias exclusivas a Digital Recovery pode trazer de volta dados criptografados em qualquer dispositivo de armazenamento, oferecendo soluções remotas em qualquer parte do mundo.