Play ransomware

A Play ransomware iniciou as suas actividades em Junho de 2022. Desde então, muitas empresas e instituições governamentais têm sido vítimas do pedido de ransomware Play.

Entre eles, a magistratura de Córdoba, Argentina. Um grande caso que envolveu empresas como a Microsoft, a Cisco e a Trend Micro na investigação do ataque

Como resultado deste evento, o sistema informático do Tribunal de Córdova teve de ser temporariamente fechado e os funcionários tiveram de voltar a utilizar papel e lápis para enviar documentos oficiais.

Em Março, a magistratura de Córdoba já tinha sofrido um ataque do Lapsus$ ransomware, que causou a fuga de emails de funcionários. O ponto exacto de entrada para este ataque recente não é conhecido, mas os investigadores especulam que o grupo Play pode ter utilizado e-mails com fugas de informação para conduzir campanhas de phishing e roubar credenciais de acesso.

Com base nos recentes ataques do grupo Play, incluindo o do judiciário de Córdoba, podemos analisar algumas das características do Play ransomware.

Sabemos que a encriptação utilizada nos ataques do grupo Play é muito robusta. De facto, o malware utiliza criptografia híbrida RSA e AES, combinando os pontos fortes de ambos os tipos de criptografia.

Além disso, o executável de ransomware é fortemente ofuscado por várias técnicas anti-análise, o que rapidamente torna o Play ransomware invisível aos programas de protecção anti-vírus.

Graças a estas técnicas, o ransomware é capaz de fazer todo o seu trabalho de encriptação e movimento lateral para gerar o máximo de danos no sistema da vítima. Isto é feito sem suscitar a menor suspeita por parte do utilizador ou da máquina.

Depois de encriptar o ficheiro, o software de ransomware adiciona a extensão “.play” ao nome do ficheiro original. Uma vez alterado o nome do ficheiro, este torna-se inacessível.

Até agora, não houve fugas do grupo Play de ficheiros alegadamente roubados em ataques. Isto leva os investigadores a concluir que não pode haver qualquer roubo de dados antes de a encriptação ser feita.

Reforçando esta ideia está a nota de resgate deixada pelos atacantes na raiz da unidade (C:³). É comum nos ataques de ransomware que os atacantes deixem uma nota de resgate com instruções sobre como contactar o grupo, pagar o resgate e, claro, algumas ameaças terríveis, tais como a pressão para pagar o resgate.

No entanto, o grupo que está por detrás do serviço de ransomware Play optou por uma abordagem muito diferente. Sim, um ficheiro de texto ReadMe.txt é gerado no ambiente, mas o seu conteúdo é ridiculamente curto e resume-se a duas linhas simples. Nome, endereço de e-mail de contacto e nada mais.

Recuperar ficheiros encriptados por ransomware Play

A Digital Recovery está no negócio da recuperação de dados há mais de 23 anos e está agora posicionada como uma das melhores alternativas no panorama dos ataques de ransomware.

Com escritórios em 6 países, temos sido capazes de fornecer apoio e tecnologia para ajudar centenas de vítimas de ataques de resgates em todo o mundo.

Desenvolvemos com sucesso soluções únicas que nos permitem recuperar dados encriptados por ransomware a partir de qualquer dispositivo de armazenamento, tais como bases de dados, servidores, sistemas RAID, máquinas virtuais, armazenamento e muito mais.

A nossa equipa é composta por profissionais eficientes que são apaixonados por novos desafios

Damos grande importância à confidencialidade e agimos no âmbito do projecto com o necessário sigilo, porque sabemos o valor dos dados de uma empresa. Cumprimos a General Data Protection Regulation (GDPR) e, evidentemente, fornecemos aos nossos clientes um acordo de confidencialidade (NDA).

Na maioria dos casos, operamos de forma totalmente remota. Assim, onde quer que esteja, a Recuperação Digital pode ter a solução para si.

Basta contactar a nossa equipa e faremos um diagnóstico avançado para a recuperação dos seus dados.

Estamos
sempre online

Preencha o formulário ou selecione sua forma de contato preferida. Entraremos em contato com você para iniciar a recuperação de seus arquivos.

Últimos insights dos nossos especialistas

Recuperar memoria flash

O Que é Memória Flash?

Desde a sua invenção nos anos 80, a memória Flash revolucionou o armazenamento de dados digitais. Essencial para dispositivos móveis, câmaras digitais, unidades de armazenamento

LEIA MAIS →

Através de tecnologias exclusivas a Digital Recovery pode trazer de volta dados criptografados em qualquer dispositivo de armazenamento, oferecendo soluções remotas em qualquer parte do mundo.

Descubra vulnerabilidades invisíveis de TI com o 4D Pentest da Digital Recovery