s1162-playcrypt - RunkIntel

# Playcrypt > Tipo: **ransomware** · S1162 · [MITRE ATT&CK](https://attack.mitre.org/software/S1162) ## Descrição [[s1162-playcrypt|Playcrypt]] é o ransomware utilizado pelo grupo [[g1040-play|Play]] desde pelo menos 2022 em ataques contra os setores empresarial, governamental, infraestrutura crítica, saúde e mídia na América do Norte, América do Sul e Europa. O ransomware recebe seu nome pela extensão `.play` adicionada a todos os arquivos criptografados após a execução, e a nota de resgaté é um arquivo de texto simples chamado `ReadMe.txt`. Técnicamente, o Playcrypt é projetado para maximizar o impacto da criptografia ([[t1486-data-encrypted-for-impact|T1486]]) com mínimo tempo de execução, priorizando arquivos de alto valor como bancos de dados, documentos Office e arquivos de backup. A inibição de recuperação do sistema ([[t1490-inhibit-system-recovery|T1490]]) via exclusão de shadow copies e desativação do Windows Recovery Environment garante que a restauração tradicional sejá impossível sem a chave de descriptografia. Pesquisadores identificaram sobreposições de código e infraestrutura com os ransomwares Hive, Nokoyawa e Quantum, sugerindo desenvolvimento compartilhado ou reutilização de código entre grupos do ecossistema ransomware-as-a-service. O grupo [[g1040-play|Play]] opera como uma entidade fechada - ao contrário da maioria dos grupos de ransomware, não recruta afiliados externos pelo modelo RaaS tradicional, o que lhes confere maior controle operacional e menor exposição a infiltrações. Em 2023, a [[cisa|CISA]] e o FBI emitiram um alerta conjunto sobre o grupo Play, documentando mais de 300 organizações vítimas globalmente, com concentração nos setores de governo municipal, manufatura e serviços financeiros. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]] - [[t1490-inhibit-system-recovery|T1490 - Inhibit System Recovery]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] ## Grupos que Usam - [[g1040-play|Play]] ## Detecção **Fontes de dados recomendadas:** - **Sysmon Event ID 11 (FileCreaté):** Criação massiva de arquivos com extensão `.play` em curto intervalo de tempo - indicador claro de criptografia ativa em andamento - **Windows Event ID 7036 (Service Control Manager):** Parada de serviços relacionados a backup e recuperação (VSS, Windows Backup) imediatamente antes ou durante a criptografia - **Sysmon Event ID 1 (ProcessCreaté):** Execução de `vssadmin.exe delete shadows /all /quiet` ou `wbadmin delete catalog` - comandos de destruição de backups ([[t1490-inhibit-system-recovery|T1490]]) **Regras de detecção:** - Sigma: `ransomware_play_deletion_shadow_copies.yml` - execução de vssadmin ou wmic para exclusão de shadow copies por processo não administrativo - YARA: Assinatura baseada na string "PLAY" em nota de resgaté e padrão de criptografia intermitente (criptografia parcial de arquivos grandes para velocidade) ## Relevância LATAM/Brasil O grupo [[g1040-play|Play]] possui histórico documentado de ataques contra organizações na América do Sul, com vítimas confirmadas no Brasil nos setores empresarial e governamental. Em 2023, prefeituras e empresas de manufatura brasileiras foram listadas no site de vazamentos do grupo após recusa de pagamento. O modelo operacional fechado do Play - sem afiliados externos - indica um grupo coeso e profissional, tornando as campanhas contra o Brasil deliberadas e não oportunistas. Organizações de governo municipal, saúde e infraestrutura brasileiras devem priorizar a detecção de precursores do Play como [[s0650-qakbot|QakBot]], [[s0154-cobalt-strike|Cobalt Strike]] e acesso via VPN sem MFA. ## Referências - [MITRE ATT&CK - S1162](https://attack.mitre.org/software/S1162) - [CISA/FBI - #StopRansomware: Play Ransomware](https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-352a) - Dezembro 2023