andariel-play-ransomware-collaboration-2024

# Andariel + Play Ransomware - Colaboração 2024 > [!critical] DPRK ator estatal colaborando com gangue de ransomware independente > Em 2024, o FBI, CISA e NSA documentaram uma colaboração inédita: o **Andariel** (subgrupo norte-coreano do Lazarus Group, também rastreado como Onyx Sleet/Stonefly) operando em conjunto com o grupo de ransomware **Play** para atacar organizações nos EUA. Essa parceria representa uma fusão alarmante de espionagem patrocinada por Estado com extorsão criminosa. ## Visão Geral A colaboração entre [[g0138-andariel]] e o [[play-ransomware-group]] foi documentada em um aviso conjunto do FBI/CISA/NSA públicado em julho de 2024. O relatório detalhou como o Andariel - formalmente um instrumento de espionagem da inteligência norte-coreana (RGB - Reconnaissance General Bureau) - passou a cooperar com grupos de ransomware independentes para maximizar a monetização de acessos comprometidos. O Play ransomware é um grupo prolífico ativo desde 2022, responsável por centenas de ataques a organizações em diversos setores ao redor do mundo. A colaboração com o Andariel sugere um modelo onde o grupo norte-coreano obtém acesso a redes de alto valor e, após concluir suas operações de espionagem (roubo de propriedade intelectual, dados de defesa, inteligência governamental), "vende" ou compartilha o acesso restante com afiliados de ransomware. Essa convergência tem implicações sérias para a atribuição e resposta a incidentes: uma organização pode ser vítima simultaneamente de espionagem estatal (comprometimento de longo prazo, furtivo) e de ransomware (impacto imediato e visível). O vetor da espionagem pode permanecer ativo mesmo após recuperação do ransomware, a menos que o comprometimento original seja completamente remediado. > [!latam] Relevância para o Brasil e LATAM > A colaboração entre **Andariel** (DPRK) e **Play Ransomware** é uma tendência preocupante que amplifica o alcance de ambas as ameaças na LATAM. O **Play** tem histórico documentado de ataques a organizações brasileiras e argentinas. A aliança com capacidades de exploração sofisticadas do Andariel eleva o nível de ameaça para **infraestrutura crítica** e **governo** na região. Uma organização comprometida pode ser simultaneamente vítima de espionagem estatal e ransomware — o comprometimento original deve ser completamente remediado mesmo após recuperação do ransomware. Para o Brasil e LATAM, a colaboração entre APTs estatais e grupos de ransomware é uma tendência preocupante que amplifica o alcance de ambas as ameaças. O [[play-ransomware-group]] tem histórico de ataques a organizações brasileiras, e a aliança com capacidades de exploração sofisticadas do Andariel eleva significativamente o nível de ameaça para [[critical-infrastructure]] e [[government]] na região. ## Análise Técnica ### Modelo de Colaboração ```mermaid graph TB A["🔍 Andariel Espionagem DPRK / RGB"] --> B["💥 Comprometimento Inicial CVEs avançados / Spear-phishing"] B --> C["🕵️ Fase de Espionagem Roubo de IP e intel estratégica"] C --> D{"Acesso Residual ainda útil?"} D -->|Sim - mais espionagem| C D -->|Não - monetizar| E["💰 Transferência de Acesso para Play Ransomware"] E --> F["🔒 Deploy do Play Ransomware Criptografia e extorsão"] F --> G["📊 Impacto Duplo Espionagem + Ransomware"] ``` ### Ferramentas Utilizadas | Fase | Grupo | Ferramentas | |------|-------|-------------| | Acesso inicial | Andariel | Exploits zero-day, spear-phishing | | Espionagem | Andariel | [[dorarat]], loaders customizados | | Ransomware | Play | Play encryptor | | Movimento lateral | Ambos | Cobalt Strike, ferramentas LOL | ### Táticas de Acesso Inicial do Andariel ```mermaid graph TB subgraph "Vetores de Acesso Inicial - Andariel 2024" A["📧 Spear-Phishing Temas de defesa e tecnologia"] --> D["🔓 Acesso Inicial"] B["💥 CVEs em Serviços Expostos VPNs, Exchange, web apps"] --> D C["🎭 Engenharia Social LinkedIn / perfis falsos"] --> D D --> E["Acesso compartilhado com Play Ransomware"] end ``` ## Implicações para Resposta a Incidentes A colaboração dupla (espionagem + ransomware) cria desafios únicos: 1. **Dupla remedição**: Após recuperação do ransomware, o comprometimento do Andariel pode persistir em paralelo 2. **Escopo expandido**: Investigação de IR deve considerar ambos os grupos e seus TTPs distintos 3. **Preservação de evidências**: Pode ser necessário preservar evidências tanto para resposta criminalística quanto para análise de inteligência 4. **Notificação**: Organizações comprometidas podem ter obrigações regulatórias em múltiplas jurisdições (dados exfiltrados pelo Andariel + ransomware) ## TTPs MITRE ATT&CK | Técnica | ID | Descrição | |---------|-----|-----------| | Exploit Public-Facing Application | [[t1190-exploit-public-facing-application\|T1190]] | Vetores iniciais do Andariel | | Valid Accounts | [[t1078-valid-accounts\|T1078]] | Credenciais roubadas para movimento lateral | | Data Encrypted for Impact | [[t1486-data-encrypted-for-impact\|T1486]] | Deploy do Play Ransomware | | Exfiltration Over C2 Channel | [[t1041-exfiltration-over-c2-channel\|T1041]] | Exfiltração de dados pelo Andariel | | Lateral Movement | [[t1021-remote-services\|T1021]] | Movimento lateral entre sistemas | ## Detecção e Defesa ### Indicadores de Comprometimento > [!ioc]- IOCs - Andariel + Play Collaboration (TLP:GREEN) > **Extensão Play Ransomware:** > `.play` adicionada a arquivos criptografados > > **Nota de resgate Play:** > `ReadMe.txt` > > **Ferramentas Andariel:** > - Binários Go em locais não padrão (DoraRAT) > - Comúnicação HTTP/HTTPS periódica (beaconing) > > **Fontes:** [FBI/CISA/NSA Advisory AA24-207A](https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-207a) · [MITRE Andariel G0138](https://attack.mitre.org/groups/G0138/) ### Mitigações 1. **Hunting proativo**: Buscar IoCs do Andariel mesmo após recuperação do ransomware Play 2. **Segmentação**: Isolar sistemas críticos para limitar movimento lateral de ambos os grupos 3. **MFA em todos os acessos remotos**: Dificultar uso de credenciais roubadas pelo Andariel 4. **Monitoramento de exfiltração**: Detectar volumes anormais de dados saindo antes da fase de ransomware ## Referências - [FBI/CISA/NSA Joint Advisory AA24-207A - Andariel Play Collaboration](https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-207a) - [Microsoft - Onyx Sleet (Andariel) Profile](https://www.microsoft.com/en-us/security/blog/2023/07/25/onyx-sleet-uses-array-of-malware-to-gather-intelligence/) - [MITRE ATT&CK - Andariel (G0138)](https://attack.mitre.org/groups/G0138/)