11-29-2025, 04:04 PM
(This post was last modified: 12-07-2025, 04:04 PM by mrwebfeeder.)
Nombre: Play
Categoría: Ransomware
Fecha de descubrimiento: 2022
Comportamiento (lo que hace y archivos que infecta):
- Ransomware dirigido principalmente a entornos corporativos.
- Utiliza la extensión:
Code:
.PLAY- Escanea unidades locales y de red en busca de:
- Documentos Office, PDF, imágenes y proyectos.
- Bases de datos, archivos de aplicaciones de negocio y backups accesibles.
- Filters execution by locale:
- Puede comprobar la configuración regional/idioma del sistema.
- Evita ejecutarse (o modifica su comportamiento) en equipos con determinados idiomas/regiones, típico de grupos que excluyen ciertos países.
- Antes o durante el cifrado, puede terminar servicios y procesos que mantienen archivos abiertos (bases de datos, aplicaciones de backup) para maximizar el número de ficheros cifrados.
- Puede combinar el cifrado con exfiltración de datos para aplicar doble extorsión (cifrado + amenaza de filtración pública).
Persistencia:
- Scheduled tasks:
- Crea tareas programadas que apuntan a su ejecutable o a un loader, asegurando su ejecución tras reinicios.
- Los nombres de las tareas pueden imitar tareas legítimas del sistema para pasar desapercibidos.
- Puede complementarse con:
- Copias del binario en rutas como ProgramData o directorios de usuario.
- Uso continuado de credenciales comprometidas y herramientas de administración remota para reintroducir el payload si es eliminado.
Hash real de referencia (SHA-256):
Muestra pública asociada a Play:
Code:
feaacadad1365077e94fa5defb7945f85efd6adefa94b4321f62d5c6edc60a58Mitigación con GetOverX Shield v3.0.2.0 o superior:
- Block unauthorized task creation (HIPS):
- En el módulo HIPS de GetOverX Shield:
- Bloquear la creación y modificación de tareas programadas por aplicaciones no confiables o no firmadas.
- Generar alertas cuando un ejecutable desconocido intente:
- Crear nuevas tareas.
- Cambiar la ruta de ejecución de una tarea existente hacia un binario sospechoso.
- Mantener una lista de aplicaciones de administración autorizadas que sí pueden gestionar tareas programadas (herramientas de TI, scripts corporativos firmados) y denegar el resto por defecto.
- Real-time file activity monitoring (EDR):
- Activar en el EDR el monitoreo en tiempo real de actividad de archivos para detectar:
- Cambios de extensión masivos haciau otras extensiones no habituales.Code:.PLAY
- Escritura y renombrado intensivo de miles de archivos en ventanas de tiempo muy cortas.
- Configurar respuesta automática para:
- Matar el proceso responsable cuando se detecte patrón de cifrado.
- Bloquear el hash del ejecutable.
- Registrar detalles (ruta, usuario, host, número de archivos afectados) en los logs unificados para análisis forense.
- Signature scan with AV engine:
- Mantener el motor Antivirus de GetOverX Shield actualizado con firmas específicas de Play y sus variantes.
- Ejecutar escaneos programados en:
- Directorios de sistema.
- ProgramData y carpetas de usuario donde puedan alojarse droppers o payloads.
- Unidades de red mapeadas y repositorios compartidos.
- Usar el escaneo bajo demanda (on-demand) en equipos donde:
- Se hayan detectado intentos de creación de tareas sospechosas.
- El EDR haya observado actividad de archivos anómala aunque no se haya completado el cifrado.
- Medidas adicionales recomendadas:
- Limitar la exposición de servicios remotos (RDP, VPN, paneles de administración) con MFA y listas de IP permitidas.
- Revisar y rotar credenciales privilegiadas tras un incidente.
- Verificar y endurecer la segmentación de red para impedir que un host comprometido pueda cifrar shares críticos o sistemas de backup.
Notas opcionales:
- Play ransomware se ha asociado a intrusiones dirigidas con foco en organizaciones de tamaño pequeño y mediano, aprovechando credenciales filtradas y servicios expuestos para obtener acceso inicial antes de desplegar el cifrado.