g1040-play - RunkIntel

# Play > [!warning] **Play** é um grupo de ameaça atribuído a **Suspeito Russofono** ativo desde **2022**. ## Visão Geral **Play** (também conhecido como **PlayCrypt**) e um grupo de ransomware ativo desde junho de 2022, notavel por seu modelo operacional fechado, alta eficiencia técnica e forte presenca em LATAM desde seus primeiros meses de operação. O grupo emprega **dupla extorsao** - criptografando sistemas após exfiltrar dados - com um estilo de comunicação minimalista (notas de resgaté com apenas a palavra "PLAY" e contatos via email @gmx.de ou @web.de, sem valores iniciais de resgaté). O Play tem suporte para ambientes **Windows e Linux/VMware ESXi**, com capacidade de cifrar infraestrutura virtual completa. A criptografia usa algoritmo AES-RSA hibrido com criptografia intermitente. Pesquisadores de segurança suspeitam de possiveis links com grupos anteriores como Hive e Nokoyawa, baseados em similaridades nas técnicas de criptografia. ## Timeline - Evolução e Expansao Global ```mermaid timeline title Play Ransomware - Cronologia Jun 2022 : Primeira identificação : Inicio em LATAM (Brasil e Argentina) 2022-2023 : Expansao global Americas e Europa : Modelo grupo fechado estabelecido Out 2023 : FBI/CISA primeiro advisory : Alvos em infraestrutura critica documentados 2024 : Grupo mais ativo de 2024 segundo FBI : Suporte adicionado para ESXi/Linux Ján 2025 : Exploração CVE-2024-57727 SimpleHelp : Novos IABs com ties ao grupo Mai 2025 : FBI registra aprox. 900 vitimas : Advisory atualizado FBI/CISA/ASD ``` > [!danger] 900+ Vitimas - Entre os Mais Ativos de 2024 > O Play ransomware foi classificado como **um dos grupos mais ativos em 2024** pelo FBI. Como de maio de 2025, o FBI registrava aproximadamente **900 entidades comprometidas** em América do Norte, América do Sul, Europa e Australia. O grupo se distingue por uma abordagem **fechada** que "garante o sigilo dos acordos". > [!info] Modelo Fechado - Sem Afiliados Públicos > Ao contrario da maioria dos grupos RaaS modernos, o Play opera como um **grupo fechado** sem recrutamento público em forums da dark web. Isso resulta em maior controle operacional, OPSEC mais robusto e consistencia das TTPs entre diferentes campanhas - caracteristicas raramente vistas em grupos de ransomware tradicionais. > [!warning] Encriptacao Intermitente - Evasão de Detecção > O Play utiliza **encriptacao intermitente** - criptografa porcoes seletivas de arquivos (a cada 0x100000 bytes) em vez de arquivos completos. Isso permite evadir sistemas de detecção que monitoram padroes de criptografia rapida e abrangente. Cada binario e **recompilado por campanha**, resultando em hashes únicos que complicam detecção baseada em assinaturas. ## Attack Flow - Dupla Extorsao com Alta Eficiencia Operacional ```mermaid graph TB A["🔓 Acesso Inicial Credenciais válidas / VPN FortiOS CVE-2018-13379"] --> B["🔍 Reconhecimento AD GRIXBA + AdFind BloodHound para mapeamento"] B --> C["🛡️ Evasão de Defesas GMER / IOBit / PowerTool Desabilita AV e EDR"] C --> D["↔️ Movimento Lateral Cobalt Strike + PsExec SMB / RDP com contas válidas"] D --> E["📤 Exfiltração WinRAR + WinSCP Controle de tamanho T1030"] E --> F["🔐 Play Ransomware AES-RSA intermitente Extensao .PLAY + ReadMe.txt"] classDef access fill:#c0392b,color:#fff,stroke:#922b21 classDef recon fill:#1a5276,color:#fff,stroke:#154360 classDef evasion fill:#e67e22,color:#fff,stroke:#d35400 classDef lateral fill:#8e44ad,color:#fff,stroke:#6c3483 classDef exfil fill:#196f3d,color:#fff,stroke:#145a32 classDef ransom fill:#2c3e50,color:#fff,stroke:#1a252f class A access class B recon class C evasion class D lateral class E exfil class F ransom ``` ## Campanhas Recentes ### LATAM (2022-2024) O Play foi descoberto originalmente durante investigacoes de campanhas de ransomware afetando **agencias governamentais latinoamericanas**. Ataques documentados contra: - Multiplas **municipalidades na Argentina e no Brasil** - Entidades governamentais estaduais brasileiras - Organizacoes de saúde na América do Sul ### Infra Critica EUA/Europa (2023-2025) Expansao significativa para alvos de alto perfil: - Governos municipais e estaduais norte-americanos - Provedores de saúde (hospitais, redes medicas) - Fabricantes industriais - Escritorios de advocacia e servicos financeiros ### SimpleHelp CVE-2024-57727 (2025) Novos IABs com ties ao Play exploraram vulnerabilidade de path traversal no SimpleHelp RMM para RCE em entidades nos EUA. ## Arsenal e Ferramentas - **Playcrypt** - Ransomware customizado, recompilado por campanha, AES-RSA intermitente - **Cobalt Strike** - Framework de C2 e movimento lateral - **GRIXBA** - Ferramenta customizada de perfil de ambiente (detecção via YARA/Suricata) - **BloodHound / AdFind** - Enumeracao de Active Directory - **Mimikatz** - Coleta de credenciais - **PsExec / PSexesvc.exe** - Execução remota - **WinRAR + WinSCP** - Compressao e exfiltração de dados - **GMER / IOBit / PowerTool** - Desabilitacao de AV e processos de segurança - **Process Hacker / WinPEAS** - Enumeracao de privilegios - **SystemBC** - Proxy/RAT para C2 ## Técnicas (TTPs) - **T1190** - Exploração de FortiOS (CVE-2018-13379), Microsoft Exchange ProxyNotShell - **T1078** - Credenciais válidas compradas na dark web - **T1059.001/003** - PowerShell e Windows Command Shell - **T1021.002** - SMB/Windows Admin Shares para movimento lateral - **T1486** - Criptografia AES-RSA com extensao .PLAY - **T1490** - Delecao de shadow copies (vssadmin) - **T1562.001** - Desabilitacao de ferramentas de segurança **Técnicas MITRE referênciadas:** [[t1078-valid-accounts|T1078]] · [[t1486-data-encrypted-for-impact|T1486]] · [[t1562-001-disable-or-modify-tools|T1562.001]] · [[t1021-002-smbwindows-admin-shares|T1021.002]] ## Relevância LATAM Play e uma **ameaça critica e documentada para o Brasil**. O grupo iniciou operações **específicamente em LATAM** em 2022, com Brasil e Argentina como alvos iniciais. Evidências documentadas: - Ataques contra **municipalidades brasileiras** registrados - **30% das vitimas globais** identificadas no Brasil segundo relatorio CrowdStrike 2025 sobre LATAM - Setor financeiro, saúde e governo sao setores prioritarios do grupo no Brasil - Modelo de grupo fechado dificulta rastreamento e prevenção via compartilhamento de IOCs públicos Organizacoes brasileiras de qualquer tamanho em setores criticos devem implementar segmentacao de rede robusta, EDR avancado e capacidade de resposta a incidentes com foco em detecção precoce de AD enumeration (AdFind/BloodHound/GRIXBA). ## Detecção e Defesa - Monitorar atividade de ferramentas de AD enumeration (AdFind, BloodHound, GRIXBA) - Detectar desabilitacao de soluções de segurança (GMER, IOBit, PowerTool) - Alertar para uso de WinRAR + WinSCP em sequencia (sinal de exfiltração pre-encriptacao) - Restringir acesso RDP e SMB com MFA obrigatoria - Aplicar patches em FortiOS, Microsoft Exchange e SimpleHelp - Monitorar criação de arquivos ReadMe.txt em diretorios públicos **Mitigação referênciada:** [[m1030-network-segmentation|M1030]] · [[m1032-multi-factor-authentication|M1032]] · [[m1051-update-software|M1051]] ## Referências - [MITRE ATT&CK - G1040 Play](https://attack.mitre.org/groups/G1040) - [FBI/CISA/ASD Advisory #StopRansomware Play (Jun 2025)](https://www.ic3.gov/CSA/2025/250604.pdf) - [CrowdStrike - 2025 LATAM Threat Landscape](https://www.crowdstrike.com/en-us/blog/2025-latam-threat-landscape-report-deep-dive/) - [SureFire Cyber - Play Threat Actor Deep Dive](https://www.surefirecyber.com/threat-actor-deep-dive-play/) - [FBI - Play Ransomware 900 Organizations](https://cyberinsider.com/fbi-play-ransomware-breached-900-organizations-worldwide/)