GETOVERX FORUM Community Support
Ransomware – Play (2022) - Printable Version

+- GETOVERX FORUM Community Support (https://forum.getoverx.com)
+-- Forum: Malware Docs (https://forum.getoverx.com/forumdisplay.php?fid=12)
+--- Forum: Ransomware (https://forum.getoverx.com/forumdisplay.php?fid=16)
+--- Thread: Ransomware – Play (2022) (/showthread.php?tid=55)

Ransomware – Play (2022) - mrwebfeeder - 11-29-2025

Nombre: Play

Categoría: Ransomware

Fecha de descubrimiento: 2022

Comportamiento (lo que hace y archivos que infecta):
- Ransomware dirigido principalmente a entornos corporativos.
- Utiliza la extensión:
Code:
.PLAY
para marcar los archivos cifrados.
- Escanea unidades locales y de red en busca de:
- Documentos Office, PDF, imágenes y proyectos.
- Bases de datos, archivos de aplicaciones de negocio y backups accesibles.
- Filters execution by locale:
- Puede comprobar la configuración regional/idioma del sistema.
- Evita ejecutarse (o modifica su comportamiento) en equipos con determinados idiomas/regiones, típico de grupos que excluyen ciertos países.
- Antes o durante el cifrado, puede terminar servicios y procesos que mantienen archivos abiertos (bases de datos, aplicaciones de backup) para maximizar el número de ficheros cifrados.
- Puede combinar el cifrado con exfiltración de datos para aplicar doble extorsión (cifrado + amenaza de filtración pública).

Persistencia:
- Scheduled tasks:
- Crea tareas programadas que apuntan a su ejecutable o a un loader, asegurando su ejecución tras reinicios.
- Los nombres de las tareas pueden imitar tareas legítimas del sistema para pasar desapercibidos.
- Puede complementarse con:
- Copias del binario en rutas como ProgramData o directorios de usuario.
- Uso continuado de credenciales comprometidas y herramientas de administración remota para reintroducir el payload si es eliminado.

Hash real de referencia (SHA-256):
Muestra pública asociada a Play:
Code:
feaacadad1365077e94fa5defb7945f85efd6adefa94b4321f62d5c6edc60a58

Mitigación con GetOverX Shield v3.0.2.0 o superior:
  • Block unauthorized task creation (HIPS):
    - En el módulo HIPS de GetOverX Shield:
    - Bloquear la creación y modificación de tareas programadas por aplicaciones no confiables o no firmadas.
    - Generar alertas cuando un ejecutable desconocido intente:
    - Crear nuevas tareas.
    - Cambiar la ruta de ejecución de una tarea existente hacia un binario sospechoso.
    - Mantener una lista de aplicaciones de administración autorizadas que sí pueden gestionar tareas programadas (herramientas de TI, scripts corporativos firmados) y denegar el resto por defecto.

  • Real-time file activity monitoring (EDR):
    - Activar en el EDR el monitoreo en tiempo real de actividad de archivos para detectar:
    - Cambios de extensión masivos hacia
    Code:
    .PLAY
    u otras extensiones no habituales.
    - Escritura y renombrado intensivo de miles de archivos en ventanas de tiempo muy cortas.
    - Configurar respuesta automática para:
    - Matar el proceso responsable cuando se detecte patrón de cifrado.
    - Bloquear el hash del ejecutable.
    - Registrar detalles (ruta, usuario, host, número de archivos afectados) en los logs unificados para análisis forense.

  • Signature scan with AV engine:
    - Mantener el motor Antivirus de GetOverX Shield actualizado con firmas específicas de Play y sus variantes.
    - Ejecutar escaneos programados en:
    - Directorios de sistema.
    - ProgramData y carpetas de usuario donde puedan alojarse droppers o payloads.
    - Unidades de red mapeadas y repositorios compartidos.
    - Usar el escaneo bajo demanda (on-demand) en equipos donde:
    - Se hayan detectado intentos de creación de tareas sospechosas.
    - El EDR haya observado actividad de archivos anómala aunque no se haya completado el cifrado.

  • Medidas adicionales recomendadas:
    - Limitar la exposición de servicios remotos (RDP, VPN, paneles de administración) con MFA y listas de IP permitidas.
    - Revisar y rotar credenciales privilegiadas tras un incidente.
    - Verificar y endurecer la segmentación de red para impedir que un host comprometido pueda cifrar shares críticos o sistemas de backup.

Notas opcionales:
- Play ransomware se ha asociado a intrusiones dirigidas con foco en organizaciones de tamaño pequeño y mediano, aprovechando credenciales filtradas y servicios expuestos para obtener acceso inicial antes de desplegar el cifrado.