# Play Ransomware (Playcrypt) > Tipo: **malware - Ransomware** · Double Extortion · [FBI/CISA Advisory AA23-352A](https://www.ic3.gov/CSA/2025/250604.pdf) ## Visão Geral [[play-ransomware|Play Ransomware]] (também chamado de **Playcrypt**) e um grupo de ransomware ativo desde junho de 2022, operando como **grupo fechado sem modelo RaaS tradicional** - garantindo "sigilo absoluto dos acordos" segundo o proprio site de vazamentos. Ate maio de 2025, o FBI documentou aproximadamente **900 entidades comprometidas** em América do Norte, América do Sul e Europa. Em 2024, o Play foi um dos tres grupos de ransomware mais ativos globalmente ao lado de LockBit 3.0 e RansomHub. Na América Latina, o Play e identificado junto com LockBit e Akira como um dos principais operadores de ransomware. Em julho de 2024, o grupo atacou uma **firma financeira chilena** usando uma variante Linux/ESXi para criptografar infraestrutura virtualizada - demonstrando evolução técnica alem do alvo Windows tradicional. O Play usa **dupla extorsao**: exfiltra dados antes de criptografar, e ameaça públicar no site .onion se o resgaté nao for pago. Vitimas sao instruidas a contatar o grupo via enderecos de email exclusivos @gmx.de ou @web.de, e alguns sao contatados por telefone para pressao adicional. **Plataformas:** Windows, Linux (variante ESXi) ## Como Funciona O Play diferencia-se pela **ausência de RaaS** - o grupo opera de forma fechada, seleciona alvos criteriosamente e recompila o encriptador para cada vitima, dificultando detecção por assinatura. O ciclo de ataque tipico: 1. **Acesso inicial**: abuso de credenciais válidas (compradas no mercado negro), exploração de FortiOS, Microsoft Exchange ou SimpleHelp RMM vulneraveis 2. **Reconhecimento interno**: AdFind e Grixba para enumeracao de Active Directory e detecção de antivirus 3. **Evasão defensiva**: GMER, IOBit e PowerTool para desabilitar EPP/EDR; limpeza de logs de eventos 4. **Movimento lateral**: Cobalt Strike, SystemBC e PsExec para propagação; Mimikatz e WinPEAS para escalada de privilegios 5. **Exfiltração**: compressao com WinRAR, transferencia via WinSCP para infraestrutura controlada pelo atacante 6. **Criptografia**: hibrido AES-RSA, extensao `.PLAY` acrescentada; variante ESXi desliga VMs antes de criptografar arquivos VMware ## Attack Flow ```mermaid graph TB A["🔑 Acesso inicial<br/>Credenciais compradas dark web<br/>FortiOS CVE-2018-13379<br/>Exchange ProxyNotShell"] --> B["🔍 Reconhecimento<br/>AdFind - Active Directory<br/>Grixba - detecção AV<br/>RDP / VPN"] B --> C["🛡️ Evasão defensiva<br/>GMER / IOBit / PowerTool<br/>Desabilita EPP e EDR<br/>Limpa logs T1070"] C --> D["↔️ Movimento lateral<br/>Cobalt Strike + SystemBC<br/>PsExec - propagação<br/>T1021.002"] D --> E["🔐 Escalada de privilegios<br/>Mimikatz - LSASS dump<br/>WinPEAS - enumeracao<br/>T1003.001"] E --> F["📤 Exfiltração<br/>WinRAR - compressao<br/>WinSCP - transferencia<br/>T1041"] F --> G["💥 Ransomware<br/>AES-RSA hibrido<br/>Extensao .PLAY<br/>Nota ReadMe.txt T1486"] classDef access fill:#e74c3c,color:#fff classDef recon fill:#e67e22,color:#fff classDef evade fill:#f39c12,color:#fff classDef lateral fill:#3498db,color:#fff classDef priv fill:#27ae60,color:#fff classDef exfil fill:#9b59b6,color:#fff classDef impact fill:#c0392b,color:#fff class A access class B recon class C evade class D lateral class E priv class F exfil class G impact ``` ## Timeline de Atividade ```mermaid timeline title Play Ransomware - Historico 2022 : Primeiro avistamento - junho<br/>Grupo fechado sem RaaS<br/>Americas e Europa 2023 : FBI/CISA publicam advisory<br/>AA23-352A - IOCs e TTPs<br/>Australia primeiro caso (abril) 2024 : Um dos 3 grupos mais ativos global<br/>Ataque Chile firma financeira<br/>Variante ESXi/Linux documentada<br/>LATAM: Brasil Chile Mexico 2025 : 900+ vitimas documentadas pelo FBI<br/>Advisory atualizado junho 2025<br/>SimpleHelp CVE-2024-57727 explorado<br/>Play: 64-75 incidentes industriais Q3 ``` ## Técnicas Utilizadas (MITRE ATT&CK) | Técnica | ID | Descrição | |---------|-----|-----------| | Valid Accounts | [[t1078-valid-accounts\|T1078]] | Credenciais compradas no dark web | | Exploit Public-Facing Application | [[t1190-exploit-public-facing-application\|T1190]] | FortiOS, Exchange, SimpleHelp RMM | | External Remote Services | [[t1133-external-remote-services\|T1133]] | RDP e VPN para acesso inicial | | PowerShell | [[t1059-001-powershell\|T1059.001]] | Execução remota de comandos | | Disable or Modify Tools | [[t1562-001-disable-or-modify-tools\|T1562.001]] | GMER, IOBit, PowerTool contra EDR | | Indicator Removal | [[t1070-indicator-removal\|T1070]] | Limpeza de logs de eventos | | SMB/Admin Shares | [[t1021-002-smb-windows-admin-shares\|T1021.002]] | Movimento lateral via PsExec | | LSASS Memory | [[t1003-001-lsass-memory\|T1003.001]] | Mimikatz para dump de credenciais | | Exfiltration over C2 | [[t1041-exfiltration-over-c2-channel\|T1041]] | WinSCP para exfiltração pre-ransom | | Data Encrypted for Impact | [[t1486-data-encrypted-for-impact\|T1486]] | AES-RSA, extensao .PLAY | | Financial Theft / Double Extortion | [[t1657-financial-theft\|T1657]] | Ameaça de públicacao se nao pagar | ## CVEs Explorados - [[cve-2018-13379|CVE-2018-13379]] - FortiOS SSL VPN (path traversal, CVSS 9.8) - [[cve-2020-12812|CVE-2020-12812]] - FortiOS SSL VPN (autenticação) - [[cve-2022-41040|CVE-2022-41040]] - Microsoft Exchange ProxyNotShell (SSRF) - [[cve-2022-41082|CVE-2022-41082]] - Microsoft Exchange ProxyNotShell (RCE) - [[cve-2024-57727|CVE-2024-57727]] - SimpleHelp RMM (path traversal) ## Relevância LATAM/Brasil > [!latam] Impacto no Brasil e LATAM > O Play está entre os **3 grupos de ransomware mais ativos na LATAM**, junto com LockBit 3.0 e Akira. Em julho de 2024, atacou firma financeira chilena via variante Linux/ESXi. A CrowdStrike documenta 291 vítimas LATAM em sites de extorsão em 2024, com Brasil, México, Colômbia, Argentina e Peru como os cinco países mais afetados. O Play e um dos tres grupos de ransomware mais identificados em ataques ao setor financeiro da LATAM segundo relatorio da Duke University/Recorded Future para 2024, ao lado de LockBit 3.0 e Akira. Em julho de 2024, o grupo comprometeu uma firma financeira chilena usando sua variante ESXi - atacando diretamente infraestrutura de virtualizacao para maximizar impacto operacional. A CrowdStrike documenta 291 vitimas LATAM em sites de extorsao em 2024, com Brasil, Mexico, Colombia, Argentina e Peru como os cinco paises mais afetados. A queda de 60% no preco medio de acesso inicial via brokers em 2024 aumenta a acessibilidade do Play a alvos menores na regiao. O modelo fechado (sem afiliados externos) do Play significa que os operadores mantem controle rigoroso sobre targeting e TTPs, tornando suas operações mais consistentes e dificeis de atribuir por variacoes de comportamento. ## Detecção e Defesa **Detecção prioritaria:** - **EDR:** Monitorar execução de GMER, IOBit Unlocker ou PowerTool - ferramentas legitimas usadas pelo Play para desabilitar antivirus - **SIEM:** Correlacionar autenticação bem-sucedida de contas privilegiadas com acesso a multiples hosts em curto intervalo (movimento lateral via PsExec) - **Sysmon ID 8 (CreateRemoteThread):** Cobalt Strike beacon injection em processos legitimos - **Network:** Transferencias WinSCP para IPs externos nao autorizados - exfiltração pre-criptografia **Mitigacoes criticas:** - Aplicar patches imediatos em FortiOS, Microsoft Exchange e qualquer RMM tool (SimpleHelp, ScreenConnect) - vetores favoritos do Play - Implementar MFA em todos os acessos VPN e RDP - inválida o vetor de credenciais compradas - Segmentar rede de virtualizacao VMware/ESXi da rede corporativa geral - Manter backups offline testados regularmente - único controle 100% efetivo contra ransomware ## Referências - [FBI/CISA Advisory - Play Ransomware AA23-352A (atualizado 2025)](https://www.ic3.gov/CSA/2025/250604.pdf) - [Dragos - Industrial Ransomware Analysis Q3 2025](https://www.dragos.com/blog/dragos-industrial-ransomware-analysis-q3-2025) - [CyberPress - FBI Released TTPs Play Ransomware 900+ orgs](https://cyberpress.org/fbi-released-ttps-iocs-play-ransomware/) - [Duke/Digi Américas - LATAM Financial Sector Threat Landscape 2025](https://digiamericas.org/wp-content/uploads/2025/06/FinancialSector_EN.pdf) - [CrowdStrike - 2025 LATAM Threat Landscape Report](https://www.crowdstrike.com/en-us/blog/2025-latam-threat-landscape-report-deep-dive/)