play-ransomware-group

# Play Ransomware > [!high] RaaS com Zero-Day Exchange e Colaboração Andariel > Play (PlayCrypt/Balloonfly) é um grupo RaaS ativo desde 2022, com alertas CISA em dezembro de 2023 e janeiro de 2025. Notório por explorar ProxyNotShell ([[cve-2022-41040|CVE-2022-41040]]/[[cve-2022-41082|CVE-2022-41082]]) e o zero-day [[cve-2025-29824|CVE-2025-29824]] no Windows CLFS. Colaboração documentada com o grupo norte-coreano [[g0138-andariel]]. ## Visão Geral Play Ransomware, também chamado de PlayCrypt ou rastreado pela Symantec como Balloonfly, emergiu em 2022 e rapidamente ganhou notoriedade por explorar vulnerabilidades ProxyNotShell no Microsoft Exchange ([[cve-2022-41040|CVE-2022-41040]] e [[cve-2022-41082|CVE-2022-41082]]) para acesso inicial a ambientes corporativos. O grupo opera um RaaS com afiliados e mantém um site de vazamentos para pressionar vítimas. Em 2025, o Play foi associado à exploração do [[cve-2025-29824|CVE-2025-29824]], um zero-day de escalada de privilégios no driver Windows Common Log File System (CLFS), que foi ativamente explorado antes de ser corrigido pela Microsoft. Esta capacidade de exploração de zero-days eleva significativamente o perfil de ameaça do grupo. Um desenvolvimento notável foi a documentação pela CISA em janeiro de 2025 da colaboração entre o Play Group e o [[g0138-andariel]], um subgrupo do [[g0032-lazarus-group]] norte-coreano. Esta parceria inédita entre um grupo de ransomware ocidental e uma APT estatal asiática levanta questões sobre a fronteira entre cibercrime financeiro e espionagem patrocinada por estado. > [!latam] Relevância para o Brasil e LATAM > O **Play** tem histórico documentado de ataques na **Argentina** (SENADO em 2022) e outras organizações na região. A colaboração com o grupo norte-coreano **Andariel** (documentada pela CISA em janeiro de 2025) eleva o perfil de ameaça: um ataque Play pode servir simultaneamente objetivos financeiros e de **espionagem patrocinada por estado**. A exploração de **zero-day no Windows CLFS** ([[cve-2025-29824|CVE-2025-29824]]) antes do patch indica capacidade ofensiva acima da média para grupos ransomware. No contexto LATAM, o Play tem sido observado atacando órgãos governamentais na Argentina (SENADO em 2022) e outras organizações na região. O grupo tem uma política diferenciada de não atacar organizações de saúde em alguns países, mas executa ataques indiscriminados em outros setores. ## Attack Flow ```mermaid graph TB A["🔓 ProxyNotShell Exchange CVE-2022-41040 + CVE-2022-41082"] --> B["💻 Web Shell em Exchange Acesso inicial via OWA"] B --> C["🔑 Escalada de Privilegios CVE-2025-29824 Windows CLFS"] C --> D["🛠️ Ferramentas de Post-Exploit Cobalt Strike, AdFind, WinRAR"] D --> E["🔍 Reconhecimento AD AdFind - enumeracao dominio"] E --> F["🔑 Credenciais LSASS dump via Mimikatz"] F --> G["📦 Compressao de Dados WinRAR - staging para exfiltração"] G --> H["📤 Exfiltração Dados antes da criptografia"] H --> I["🔒 Criptografia Play Extensao .play nos arquivos"] ``` *Colaboração: [[g0138-andariel]] · Atores: [[g1040-play]]* ## Técnicas MITRE ATT&CK | ID | Técnica | Fase | Descrição | |----|---------|------|-----------| | T1190 | Exploit Public-Facing | Acesso Inicial | ProxyNotShell CVE-2022-41040/41082 no Exchange | | T1133 | External Remote Services | Acesso Inicial | Exploração de VPNs e serviços expostos | | T1078 | Valid Accounts | Persistência | Uso de contas AD comprometidas | | T1068 | Exploit Priv Escalation | Escalada | CVE-2025-29824 Windows CLFS zero-day | | T1003.001 | LSASS Memory | Credenciais | Dump via Mimikatz e similares | | T1560.001 | Archive via Utility | Coleta | WinRAR para staging de dados | | T1048 | Exfiltration Alt Protocol | Exfiltração | Exfiltração antes da criptografia | | T1486 | Data Encrypted | Impacto | Criptografia com extensão .play | | T1490 | Inhibit Recovery | Impacto | Deleção de shadow copies via VSS | ## Colaboração Play + Andariel ```mermaid graph TB subgraph Play Group PLAY["Play Ransomware Grupo financeiro ocidental"] RaaS["RaaS Platform Afiliados recrutados"] end subgraph Andariel AND["Andariel APT norte-coreana"] LAZ["Lazarus Group Grupo pai"] end subgraph Impacto FIN["Financeiro Resgate e extorsao"] ESP["Espionagem Dados estratégicos"] INF["Infraestrutura Sabotagem"] end PLAY --> FIN AND --> ESP PLAY --> AND AND --> LAZ PLAY --> INF AND --> INF ``` *Técnicas: [[t1190-exploit-public-facing-application|T1190]] · [[t1003-001-lsass-memory|T1003.001]] · [[t1486-data-encrypted-for-impact|T1486]]* ## CVEs Explorados | CVE | Produto | CVSS | Impacto | |-----|---------|------|---------| | [[cve-2022-41040\|CVE-2022-41040]] | Microsoft Exchange | 8.8 | SSRF para autenticação | | [[cve-2022-41082\|CVE-2022-41082]] | Microsoft Exchange | 8.8 | RCE via PowerShell | | [[cve-2025-29824\|CVE-2025-29824]] | Windows CLFS Driver | 7.8 | Escalada de privilégios (zero-day) | ## Detecção e Defesa **Indicadores comportamentais:** - Web shell em diretório do Exchange (OWA path) - LSASS dump por processos não esperados - AdFind.exe executado por conta de serviço - WinRAR comprimindo dados em lotes grandes - Extensão `.play` em arquivos cifrados **Mitigações recomendadas:** - Aplicar patches imediatos para ProxyNotShell e CVE-2025-29824 - [[m1030-network-segmentation|Segmentação de rede]] para isolar servidores Exchange - Monitorar acesso ao LSASS e execução de AdFind - Backups offline com verificação de integridade - [[m1049-antivirus-antimalware|EDR]] com detecção de ransomware comportamental ## Referências - [1](https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-352a) CISA/FBI/ASD - Play Ransomware Advisory AA23-352A (2023) - [2](https://www.cisa.gov/news-events/cybersecurity-advisories/aa25-022a) CISA - Play Ransomware and Andariel Collaboration AA25-022A (2025) - [3](https://attack.mitre.org/software/S1040/) MITRE ATT&CK - Play Ransomware S1040 (2023) - [4](https://www.bleepingcomputer.com/news/security/play-ransomware-gang-used-windows-zero-day-in-attacks/) BleepingComputer - Play Ransomware Used Windows Zero-Day (2025) - [5](https://symantec-enterprise-blogs.security.com/threat-intelligence/ransomware-play-north-korea) Symantec - Play Ransomware and North Korea Connection (2025)