# Play Ransomware - Campanha LATAM 2023 > [!danger] Grupo ransomware mais ativo na América Latina em 2022-2023 > O grupo Play (também chamado PlayCrypt) surgiu em junho de 2022 e rapidamente se tornou uma das operações de ransomware mais ativas da América Latina, com a Argentina sendo seu primeiro alvo de destaque (Poder Judiciário de Córdoba). O grupo acumulou mais de 300 vítimas confirmadas em 2023, com o Brasil como principal alvo LATAM, e estabeleceu um perfil técnico distinto por explorar vulnerabilidades em servidores de e-mail Exchange e produtos Fortinet para acesso inicial. ## Visão Geral O grupo [[play-ransomware|Play]] (denominado internamente "PlayCrypt") emergiu no cenário de ransomware em junho de 2022 e rapidamente ganhou notoriedade por dois aspectos: primeiro, seu foco explícito em entidades governamentais e infraestrutura crítica da América Latina; segundo, o uso consistente de vulnerabilidades em produtos amplamente implantados - Microsoft Exchange e Fortinet FortiOS - como vetores de acesso inicial privilegiado. O primeiro ataque público de grande repercussão foi contra o **Poder Judiciário de Córdoba** (Argentina) em agosto de 2022, que paralisou o sistema judicial da segunda maior província argentina por semanas. O incidente alertou governos e organizações de infraestrutura crítica da região para a ameaça real do Play. Nos meses seguintes, o grupo comprometeu a cidade de Oakland (EUA), o condado de Bernalillo (Novo México, EUA) e dezenas de organizações nos setores público e privado. Em 2023, o Play intensificou operações globais, atingindo mais de 300 vítimas ao longo do ano. O FBI e CISA emitiram um advisory conjunto em dezembro de 2023, classificando o Play como uma das ameaças de ransomware mais ativas do período. No Brasil, o grupo atacou empresas dos setores de tecnologia, saúde e financeiro, com vazamentos de dados confirmados na dark web. O Play se destaca por sua política de **dupla extorsão com públicação em lote**: ao contrário de grupos que negociam antes de vazar, o Play frequentemente pública dados de múltiplas vítimas simultaneamente no site de vazamento no Tor. Técnicamente, o Play é notável pela exploração de vulnerabilidades ProxyNotShell ([[cve-2022-41082|CVE-2022-41082]] e [[cve-2022-41080|CVE-2022-41080]]) no Microsoft Exchange e vulnerabilidades no FortiOS ([[cve-2018-13379|CVE-2018-13379]]) para acesso inicial sem interação do usuário - tornando campanhas de phishing desnecessárias em ambientes com Exchange ou Fortinet expostos. ## Attack Flow ```mermaid graph TB A["Acesso inicial<br/>Exploit Exchange ProxyNotShell<br/>CVE-2022-41082 ou Fortinet VPN"] --> B["Reconhecimento interno<br/>Enumeração de AD, shares<br/>e sistemas de backup"] B --> C["Dump de credenciais<br/>Mimikatz, Windows Credential Dump<br/>para contas privilegiadas"] C --> D["Movimento lateral<br/>Cobalt Strike Beacon<br/>PsExec via credenciais roubadas"] D --> E["Exfiltração de dados<br/>WinRAR e ferramentas legítimas<br/>para site de extorsão"] E --> F["Destruição de backups<br/>Shadow copies deletados<br/>VSS desativado"] F --> G["Criptografia com Play<br/>Extensão .play em todos arquivos<br/>Nota de resgate READTHIS.txt"] ``` ## Cronologia | Data | Evento | |------|--------| | 2022-06 | Primeiros ataques do grupo Play documentados | | 2022-08 | Poder Judiciário de Córdoba (Argentina) comprometido - paralisação do sistema judicial | | 2022-09 | Cidade de Oakland (EUA) comprometida - estado de emergência declarado | | 2023-01 | Play explora ProxyNotShell em ataques ao Exchange em escala global | | 2023-06 | FBI e CISA públicam análise técnica do grupo Play | | 2023-10 | 300+ vítimas confirmadas - Brasil entre principais alvos LATAM | | 2023-12 | FBI e CISA emitem advisory conjunto (AA23-352A) sobre Play | | 2024 | Play continua ativo - nova variante para Linux/ESXi detectada | ## TTPs Utilizadas | Técnica | ID | Descrição | |---------|-----|-----------| | Exploit Public-Facing Application | [[t1190-exploit-public-facing-application\|T1190]] | CVE-2022-41082 (ProxyNotShell) e CVE-2018-13379 (Fortinet) | | Valid Accounts | [[t1078-valid-accounts\|T1078]] | Uso de credenciais roubadas de contas de serviço AD | | OS Credential Dumping | [[t1003-os-credential-dumping\|T1003]] | Mimikatz e Windows Credential Dump para escalada de privilégios | | File and Directory Discovery | [[t1083-file-and-directory-discovery\|T1083]] | Enumeração de compartilhamentos de rede e sistemas de backup | | Data Encrypted for Impact | [[t1486-data-encrypted-for-impact\|T1486]] | Criptografia de arquivos com extensão .play; nota READTHIS.txt | ## Impacto **Principais vítimas confirmadas (2022-2023):** - Poder Judiciário de Córdoba (Argentina) - sistema judicial paralisado por semanas - Cidade de Oakland, Califórnia (EUA) - estado de emergência municipal - Rackspace Technology (EUA) - provedor de cloud parcialmente comprometido - Arnold Clark (UK) - maior revendedora de carros do Reino Unido - Anatel (Brasil) - agência reguladora de telecomúnicações - Grupo hospitalar e empresas de tecnologia brasileiras (nomes não divulgados oficialmente) **Escala:** - 300+ vítimas confirmadas em 2023 globalmente - Brasil: principal alvo LATAM com múltiplas empresas no site de vazamento do grupo - Ransom médio: US$ 500K a US$ 2M por incidente ## Relevância LATAM e Brasil O Play é particularmente relevante para o Brasil e América Latina por múltiplas razões: - **Primeiro alvo LATAM:** O Poder Judiciário de Córdoba (Argentina) foi um dos primeiros alvos de alto perfil do grupo, estabelecendo a região como alvo prioritário - **Foco em governo e infraestrutura:** O perfil de alvos do Play - entidades governamentais, saúde e infraestrutura crítica - corresponde exatamente às áreas mais vulneráveis do [[government|setor público brasileiro]] - **Brasil como alvo confirmado:** Múltiplas organizações brasileiras aparecem no site de vazamento do Play, incluindo empresas do [[financial|setor financeiro]] e [[technology|tecnologia]] - **Vetores localmente relevantes:** O Exchange Server e produtos Fortinet FortiGate são amplamente utilizados no Brasil, tornando as vulnerabilidades exploradas pelo Play diretamente aplicáveis - **LATAM como laboratório:** A Argentina foi usada como campo de teste antes da expansão global do grupo ## Mitigação **Controles técnicos prioritários:** - Aplicar patches ProxyNotShell (CVE-2022-41082 e CVE-2022-41080) em servidores Exchange - Atualizar FortiOS para versões não afetadas pela CVE-2018-13379 e variantes - Implementar monitoramento de shadow copies e backups com alertas de deleção **Controles estratégicos:** - Aplicar [[m1051-update-software|M1051]] - patch management rigoroso para Exchange e produtos de segurança de rede - Implementar [[m1032-multi-factor-authentication|M1032]] - MFA para todos os acessos remotos e Exchange - Usar [[m1049-antivirus-antimalware|M1049]] - EDR para detecção comportamental de movimentação lateral - Monitorar via [[ds-0009-process|DS-0009]] - execução de Mimikatz e ferramentas de dump de credenciais ## Referências - [1](https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-352a) CISA/FBI - Advisory AA23-352A: Play Ransomware (2023) - [2](https://unit42.paloaltonetworks.com/play-ransomware/) Unit 42 - Play Ransomware Technical Analysis (2023) - [3](https://www.akamai.com/blog/security/how-play-ransomware-bypassed-proxynotshell-mitigations) Akamai - How Play Bypassed ProxyNotShell Mitigations (2023) - [4](https://therecord.media/argentina-judicial-sector-ransomware-play) The Record - Argentina Judicial Sector Hit by Play Ransomware (2022) - [5](https://www.trendmicro.com/en_us/research/22/i/play-ransomware-s-attack-playbook-unmasks-its-targeted-attack-on.html) Trend Micro - Play Ransomware Attack Playbook (2022) - [6](https://www.bleepingcomputer.com/news/security/play-ransomware-gang-uses-custom-shadow-volume-tool-to-improve-attacks/) BleepingComputer - Play Ransomware Custom Tools (2023)