Autoridades de Australia y Estados Unidos han publicado un nuevo aviso conjunto en el que informan que los actores detrás del ransomware Play han afectado a unas 300 entidades para octubre de 2023. Estos atacantes emplean un modelo de doble extorsión, encriptando los sistemas después de extraer los datos, e impactando un amplio espectro de empresas y organizaciones de infraestructura crítica en América del Norte, América del Sur, Europa y Australia.
Play, también conocido como Balloonfly y PlayCrypt, surgió en 2022 aprovechando errores de seguridad en los servidores de Microsoft Exchange (CVE-2022-41040 y CVE-2022-41082) y los dispositivos Fortinet (CVE-2018-13379 y CVE-2020-12812) para violar las empresas y desplegar malware de encriptación de archivos.
Cabe señalar que los ataques de ransomware en la actualidad están explotando cada vez más vulnerabilidades en lugar de utilizar correos electrónicos de phishing como vectores de infección inicial, según datos de Corvus: su presencia ha saltado de casi cero en la segunda mitad de 2022 a casi un tercio en la primera mitad de 2023.
Un informe publicado el mes pasado por la firma de ciberseguridad Adlumin reveló que Play se está ofreciendo a otros actores de amenazas “como servicio” ransomware-as-a-service (RaaS), completando su transformación.
Los ataques de ransomware orquestados por este grupo se caracterizan por el uso de herramientas públicas y personalizadas como AdFind para ejecutar consultas de Active Directory, GMER, IOBit y PowerTool para desactivar el software antivirus, y Grixba para enumerar información de la red y recopilar información sobre el software de copia de seguridad y las herramientas de administración remota instaladas en una máquina.
También se ha observado que los actores realizan movimientos laterales y pasos de exfiltración y encriptación de datos, basándose en Cobalt Strike, SystemBC y Mimikatz para la post-explotación.
«El grupo de ransomware Play utiliza un modelo de doble extorsión, encriptando sistemas después de extraer datos», dijeron las agencias. «Las notas de rescate no incluyen una demanda inicial de rescate ni instrucciones de pago, en su lugar, se instruye a las víctimas a contactar con los actores de amenazas por correo electrónico”.
De acuerdo con estadísticas compiladas por Malwarebytes, Play habría afectado a casi 40 víctimas en noviembre de 2023, pero significativamente detrás de sus pares LockBit y BlackCat (también conocidos como ALPHV y Noberus).
Este aviso viene días después de que las agencias gubernamentales de Estados Unidos publicaran un boletín actualizado sobre el grupo Karakurt, que se sabe prescinde de los ataques basados en encriptación en favor del puro chantaje después de haber obtenido acceso inicial a las redes mediante la compra de credenciales de inicio de sesion robadas, corredores de intrusión (también conocidos como corredores de acceso inicial), e-mails de phishing y vulnerabilidades de seguridad conocidas.
«Las víctimas de Karakurt no han informado de la encriptación de las máquinas o los archivos comprometidos; más bien, los actores de Karakurt han afirmado haber robado datos y amenazado con subastarlos o publicarlos a menos que reciban el pago del rescate exigido», dijo el gobierno.
Estos desarrollos también tienen lugar en medio de especulaciones de que el ransomware BlackCat puede haber sido objetivo de una operación de aplicación de la ley después de que sus portales de filtración en la dark web se desactivaran durante cinco días. Sin embargo, el colectivo de E-Crime atribuyó la interrupción a una falla de hardware.
Además, se afirma que otro grupo de ransomware conocido como NoEscape ha llevado a cabo una estafa de salida, «robando efectivamente los pagos del rescate y cerrando los paneles web y los sitios de filtración de datos del grupo», lo que ha provocado que otras bandas como LockBit contraten a sus antiguos afiliados.
No es sorprendente que el panorama de los ransomware esté en constante evolución y cambio, ya sea debido a la presión externa de las fuerzas del orden, evidenciado por la colaboración entre las bandas ransomware BianLian, White Rabbit, y Mario en una campaña conjunta de extorsión dirigida a las empresas de servicios financieros que cotizan en bolsa.
«Estas campañas de rescate cooperativas son raras, pero es posible que sean cada vez más comunes debido a la participación de corredores de acceso inicial (IAB) que colaboran con varios grupos en la dark web», dijo Resecurity en un informe publicado la semana pasada.
«Otro factor que puede estar dando lugar a una mayor colaboración son las intervenciones de la aplicación de la ley que crean redes de diáspora de cibercriminales. Los participantes desplazados de estas redes de actores de amenazas pueden estar más dispuestos a colaborar con sus rivales”.
