play-ransomware - RunkIntel

# Play Ransomware > Tipo: **ransomware** (grupo fechado) - G1040 - [MITRE ATT&CK](https://attack.mitre.org/groups/G1040) > [!danger] Um dos Mais Ativos de 2024 com 900+ Vitimas > O Play (Playcrypt) foi um dos grupos de ransomware mais ativos em 2024, com mais de 900 organizacoes comprometidas em América do Norte, do Sul e Europa. Opera como grupo fechado sem afiliados externos. Explorou ProxyNotShell no Microsoft Exchange e vulnerabilidades FortiOS para acesso inicial. Brasil e América do Sul estao documentados como alvos. ## Visão Geral [[play-ransomware|Play]] (também conhecido como **Playcrypt**) e um grupo de ransomware ativo desde junho de 2022 rastreado pela MITRE como **G1040**. O grupo se distingue por ser um **grupo fechado** - sem modelo RaaS com afiliados externos, operando com controle total sobre suas operações e garantindo "sigilo dos acordos" conforme declarado em seu proprio site de vazamento. As vitimas recebem apenas um endereco de email para contato (@gmx.de ou @web.de) sem demanda de ransom explicita na nota. O Play foi responsavel por algumas das explorações mais impactantes de 2022-2023: o grupo explorou **ProxyNotShell** (CVE-2022-41040 e CVE-2022-41082 no Microsoft Exchange) e vulnerabilidades **FortiOS** (CVE-2018-13379, CVE-2020-12812) para acesso inicial antes de patches disponiveis ou aplicados. Em 2025, novos exploits no **SimpleHelp RMM** (CVE-2024-57727) foram adicionados ao arsenal. O Play desenvolveu ferramentas proprias: **Grixba** e um infostealer e scanner de rede personalizado que enumera usuarios, computadores no dominio e software de segurança instalado (EDR, antivirus, soluções de backup). A variante ESXi do Play criptografa arquivos VMware com AES-256 e e recompilada individualmente para cada ataque, tornando cada binario com hash único. **Plataformas:** Windows, Linux (VMware ESXi) ## Como Funciona O Play opera com métodologia rigorosa e ferramentas customizadas: 1. **Acesso inicial tecnico:** Exploração de CVEs em FortiOS ([[t1190-exploit-public-facing-application|T1190]]), ProxyNotShell no Exchange, VPN/RDP com credenciais válidas ([[t1133-external-remote-services|T1133]] + [[t1078-valid-accounts|T1078]]) 2. **Reconhecimento com Grixba:** Ferramenta propria enumera software de segurança ([[t1518-001-security-software-discovery|T1518.001]]), configuracoes de rede ([[t1016-system-network-configuration-discovery|T1016]]) e usuarios do AD via WMI/WinRM 3. **Desativacao de defesas:** GMER, IOBit e PowerTool para desabilitar AV e EDR identificados pelo Grixba ([[t1562-001-disable-or-modify-tools|T1562.001]]) 4. **Dump de credenciais:** Mimikatz para dump de LSASS ([[t1003-001-lsass-memory|T1003.001]]) e obtencao de acesso de domain admin via Pass-the-Hash 5. **Distribuição via Cobalt Strike e SystemBC:** Movimento lateral e deploy do payload via SMB ([[t1570-lateral-tool-transfer|T1570]]) 6. **Exfiltração e compressao:** WinRAR para arquivar dados em chunks ([[t1560-001-archive-via-utility|T1560.001]]), WinSCP para transferencia ([[t1048-exfiltration-over-alternative-protocol|T1048]]) 7. **Criptografia intermitente:** RSA-AES hibrido, extensao `.PLAY` adicionada, chunks de 0x100000 bytes por arquivo (estratégia de velocidade) ```mermaid graph TB A["CVEs FortiOS / Exchange ProxyNotShell CVE-2022-41082 T1190 + T1078"] --> B["Grixba scanner Enumera AD / usuarios Detecta AV e backups"] B --> C["Desativar defesas GMER / IOBit / PowerTool T1562.001 - EDR removido"] C --> D["Dump credenciais Mimikatz LSASS T1003.001 Domain admin obtido"] D --> E["Cobalt Strike / SystemBC Distribuição lateral T1570 SMB para todos os hosts"] E --> F["Exfiltração WinRAR + WinSCP T1048 T1560.001 - dados arquivados"] F --> G["Play / Playcrypt RSA-AES intermitente Extensao .PLAY - nota email"] classDef access fill:#e74c3c,color:#fff classDef recon fill:#27ae60,color:#fff classDef defense fill:#c0392b,color:#fff classDef cred fill:#e67e22,color:#fff classDef lateral fill:#2980b9,color:#fff classDef exfil fill:#8e44ad,color:#fff classDef encrypt fill:#2c3e50,color:#fff class A access class B recon class C defense class D cred class E lateral class F exfil class G encrypt ``` ## Timeline ```mermaid timeline title Play Ransomware - Evolução Jun 2022 : Primeiro incidente Play documentado 2022 : Exploração ProxyNotShell Exchange : FortiOS CVE-2018-13379 explorado Abr 2023 : Primeira vitima Play na Australia Dez 2023 : Advisory FBI/CISA/ASD - 300 vitimas 2024 : Um dos grupos mais ativos do ano : CVE-2024-57727 SimpleHelp adicionado 2025 : 900+ vitimas - Advisory atualizado Jun 2025 : ESXi variant amplamente deployado ``` ## Técnicas Utilizadas | Tática | ID | Técnica | |--------|-----|---------| | Initial Access | [[t1190-exploit-public-facing-application\|T1190]] | FortiOS / Exchange ProxyNotShell | | Initial Access | [[t1133-external-remote-services\|T1133]] | VPN / RDP | | Initial Access | [[t1078-valid-accounts\|T1078]] | Valid Accounts | | Discovery | [[t1518-001-security-software-discovery\|T1518.001]] | Grixba - Security Software Discovery | | Discovery | [[t1016-system-network-configuration-discovery\|T1016]] | Network Config Discovery | | Defense Evasion | [[t1562-001-disable-or-modify-tools\|T1562.001]] | Desativar AV/EDR | | Credential Access | [[t1003-001-lsass-memory\|T1003.001]] | LSASS Memory (Mimikatz) | | Lateral Movement | [[t1570-lateral-tool-transfer\|T1570]] | Cobalt Strike / SystemBC | | Collection | [[t1560-001-archive-via-utility\|T1560.001]] | WinRAR Archive | | Exfiltration | [[t1048-exfiltration-over-alternative-protocol\|T1048]] | WinSCP Transfer | | Impact | [[t1486-data-encrypted-for-impact\|T1486]] | RSA-AES intermitente | | Impact | [[t1657-financial-theft\|T1657]] | Extorsao dupla | ## Relevância LATAM/Brasil O [[play-ransomware|Play]]/Playcrypt tem vitimas documentadas em **América do Sul** segundo a CISA e FBI, tornando o Brasil e outros paises da regiao alvos confirmados. O grupo explora CVEs em produtos amplamente utilizados em empresas brasileiras: **FortiGaté** e um dos firewalls corporativos mais comuns no Brasil, e **Microsoft Exchange On-Premises** tem alta penetracao em empresas de medio porte. O modelo de grupo fechado do Play significa que as operações sao conduzidas com alto nivel de profissionalismo e selecao criteriosa de vitimas - tipicamente organizacoes com receita suficiente para pagar ransoms entre USD 500.000 e varios milhões. Empresas dos setores de [[financial|financeiro]], [[technology|tecnologia]], [[healthcare|saúde]] e [[government|governo]] no Brasil com Exchange ou FortiGaté desatualizados devem considerar o Play como ameaça relevante. A ferramenta Grixba específicamente detecta soluções de backup - o que significa que o Play sistematicamente neutraliza a opcao de recuperacao antes de criptografar, aumentando a pressao sobre a vitima para pagar. **Setores impactados:** [[financial|financeiro]] - [[technology|tecnologia]] - [[healthcare|saúde]] - [[government|governo]] - [[education|educação]] ## Detecção - Priorizar patches dos CVEs em FortiOS (CVE-2018-13379, CVE-2020-12812) e Exchange (CVE-2022-41040, CVE-2022-41082) - Detectar uso de AdFind.exe e BloodHound para enumeracao de Active Directory - Monitorar processo LSASS para acessos de processos nao-autorizados (dump de credenciais) - Alertar para presenca de arquivos com extensao `.PLAY` e nota `ReadMe.txt` em C:\ ```sigma title: Play Ransomware File Extension Detection status: stable logsource: category: file_event product: windows detection: selection: TargetFilename|endswith: '.play' filter_legitimate: Image|endswith: - '\explorer.exe' condition: selection and not filter_legitimate level: critical tags: - attack.impact - attack.t1486 - code/distill ``` ## Referências - [1](https://attack.mitre.org/groups/G1040) MITRE ATT&CK - G1040 Play Group (2024) - [2](https://www.ic3.gov/CSA/2023/231218.pdf) FBI/CISA/ASD - StopRansomware Play Ransomware (2023) - [3](https://www.cyber.gov.au/about-us/view-all-content/alerts-and-advisories/stopransomware-play-ransomware) ASD/ACSC - Play Ransomware Advisory Updaté (2025) - [4](https://www.picussecurity.com/resource/blog/play-ransomware-analysis-simulation-and-mitigation-cisa-alert-aa23-352a) Picus Security - Play Ransomware TTPs Analysis (2023) - [5](https://gbhackers.com/cisa-releases-ttps-iocs-for-play-ransomware/) GBHackers - Play Ransomware 900+ Victims Advisory (2025)