A Play ransomware iniciou as suas actividades em Junho de 2022. Desde então, muitas empresas e instituições governamentais têm sido vítimas do pedido de ransomware Play.
Entre eles, a magistratura de Córdoba, Argentina. Um grande caso que envolveu empresas como a Microsoft, a Cisco e a Trend Micro na investigação do ataque
Como resultado deste evento, o sistema informático do Tribunal de Córdova teve de ser temporariamente fechado e os funcionários tiveram de voltar a utilizar papel e lápis para enviar documentos oficiais.
Em Março, a magistratura de Córdoba já tinha sofrido um ataque do Lapsus$ ransomware, que causou a fuga de emails de funcionários. O ponto exacto de entrada para este ataque recente não é conhecido, mas os investigadores especulam que o grupo Play pode ter utilizado e-mails com fugas de informação para conduzir campanhas de phishing e roubar credenciais de acesso.
Com base nos recentes ataques do grupo Play, incluindo o do judiciário de Córdoba, podemos analisar algumas das características do Play ransomware.
Sabemos que a encriptação utilizada nos ataques do grupo Play é muito robusta. De facto, o malware utiliza criptografia híbrida RSA e AES, combinando os pontos fortes de ambos os tipos de criptografia.
Além disso, o executável de ransomware é fortemente ofuscado por várias técnicas anti-análise, o que rapidamente torna o Play ransomware invisível aos programas de protecção anti-vírus.
Graças a estas técnicas, o ransomware é capaz de fazer todo o seu trabalho de encriptação e movimento lateral para gerar o máximo de danos no sistema da vítima. Isto é feito sem suscitar a menor suspeita por parte do utilizador ou da máquina.
Depois de encriptar o ficheiro, o software de ransomware adiciona a extensão “.play” ao nome do ficheiro original. Uma vez alterado o nome do ficheiro, este torna-se inacessível.
Até agora, não houve fugas do grupo Play de ficheiros alegadamente roubados em ataques. Isto leva os investigadores a concluir que não pode haver qualquer roubo de dados antes de a encriptação ser feita.
Reforçando esta ideia está a nota de resgate deixada pelos atacantes na raiz da unidade (C:³). É comum nos ataques de ransomware que os atacantes deixem uma nota de resgate com instruções sobre como contactar o grupo, pagar o resgate e, claro, algumas ameaças terríveis, tais como a pressão para pagar o resgate.
No entanto, o grupo que está por detrás do serviço de ransomware Play optou por uma abordagem muito diferente. Sim, um ficheiro de texto ReadMe.txt é gerado no ambiente, mas o seu conteúdo é ridiculamente curto e resume-se a duas linhas simples. Nome, endereço de e-mail de contacto e nada mais.
Recuperar ficheiros encriptados por ransomware Play
A Digital Recovery está no negócio da recuperação de dados há mais de 23 anos e está agora posicionada como uma das melhores alternativas no panorama dos ataques de ransomware.
Com escritórios em 6 países, temos sido capazes de fornecer apoio e tecnologia para ajudar centenas de vítimas de ataques de resgates em todo o mundo.
Desenvolvemos com sucesso soluções únicas que nos permitem recuperar dados encriptados por ransomware a partir de qualquer dispositivo de armazenamento, tais como bases de dados, servidores, sistemas RAID, máquinas virtuais, armazenamento e muito mais.
A nossa equipa é composta por profissionais eficientes que são apaixonados por novos desafios
Damos grande importância à confidencialidade e agimos no âmbito do projecto com o necessário sigilo, porque sabemos o valor dos dados de uma empresa. Cumprimos a General Data Protection Regulation (GDPR) e, evidentemente, fornecemos aos nossos clientes um acordo de confidencialidade (NDA).
Na maioria dos casos, operamos de forma totalmente remota. Assim, onde quer que esteja, a Recuperação Digital pode ter a solução para si.
Basta contactar a nossa equipa e faremos um diagnóstico avançado para a recuperação dos seus dados.