Если вы не видите здесь изображений, то используйте VPN.

среда, 22 июня 2022 г.

Play

Play Ransomware

Play Hand-Ransomware

Play Extortion Group

Variants: FinDom 

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Play Ransomware

Этот крипто-вымогатель шифрует данные на серверах компаний, организаций и частных лиц с помощью комбинации алгоритмов AES + RSA-4096, а затем оставляет текстовый файл с email-адресом, видимо для того, чтобы пострадавшие  написали на него и узнали, как заплатить выкуп, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. 
---
Обнаружения:
DrWeb -> 
BitDefender -> 
ESET-NOD32 -> 
Kaspersky -> 
Malwarebytes -> 
Microsoft -> 
Rising -> 
Tencent -> 
TrendMicro -> 
---

© Генеалогия: родство выясняется >> Play



Сайт "ID Ransomware" идентифицирует это как Play


Информация для идентификации

Активность этого крипто-вымогателя была в конце июня 2022 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Первые пострадавшие были из Германии. 

К зашифрованным файлам добавляется расширение: .play
Большие файлы шифруются дважды. 

Записка с требованием выкупа не использовалась, вместо нее на пострадавшем компьютере оставлялся readme-файл с email-адресом вымогателей. 

Содержание текстового файла:
gyeceeidia7y@gmx.com


Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 



Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Play Ransomware перед шифрованием разбивает файл на 2, 3 или 5 фрагментов, в зависимости от размера файла, а затем шифрует каждый другой фрагмент. 

Если пострадавшие компании или организации не платят выкуп в течении установленного срока выплаты (например, 1 неделя), то украденные персональные данные (включая личную информацию о гражданах, удостоверения личности, номера паспортов, финансовые документы и мн. др.) могут быть проданы или опубликованы на сайтах Даркнета. 

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и прочие файлы. 
Также шифруются резервные файлы в синхронизированном облаке. 

Файлы, связанные с этим Ransomware:
<ransom_note>.txt - название файла с требованием выкупа;
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: gyeceeidia7y@gmx.com
BTC: -
См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: -


Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 19 ноября 2022:
Email: ***@gmx.de
Tor-URLs:
mbrlkbtq5jonaqkurjwmxftytyn2ethqvbxfu4rgjbkkknndqwae6byd.onion
k7kg3jqxang3wh7hnmaiokchk7qoebupfgoik6rha6mjpzwupwtj25yd.onion


Информация от 6 декабря 2022:
Хакерско-вымогательская группа атаковала и взломала серверы технологического центра Digipolis в Антверпене, отвечающего за различные городские службы и установила срок в 1 неделю для выплаты выкупа. Кажется специалисты Digipolis смогли восстановить работу центра без уплаты выкупа. 

Скриншот с сайта Play Ransomware group, свидетельствует о масштабах атак этой группы. Пострадавшие предпочитают замалчивать об инцидентах. 




Вариант от 22 декабря 2022:
Предполагаемое родство. 
Расширение: .FinDom
Записка: OPEN.txt
Email: findomswitch@fastmail.pw
Содержание записки: только email-адрес вымогателей. 



=== 2023 ===

Информация от 9 февраля 2023:
Хакерско-вымогательская группа 23 января 2023 атаковала и взломала серверы производителя сетевого оборудования A10 Networks (штат Калифорния, США). Группа вымогателей Play добавила A10 Networks на свой сайт, угрожая утечкой файлов, которые она украла во время вторжения. 



Информация от 19 апреля 2023:
Хакерско-вымогательская группа теперь использует инструменты Grixba и VSS Copying Tool для более продвинутых атак. 
Инструмент Grixba, предназначенный для перечисления пользователей и компьютеров в домене, используется злоумышленниками для режима сетевого сканирования и кражи информации, в котором используются WMI, WinRM, удалённый реестр и удалённые службы, а также для определения ПО, работающего на сетевых устройствах. Grixba проверяет наличие антивирусных программ и программ безопасности, наборов EDR, инструментов резервного копирования и инструментов удаленного администрирования, а также офисных приложений и DirectX, что позволяет определить тип сканируемого компьютера. Все собранные данные сохраняет в файлах CSV, сжимает их в ZIP-архив, а затем эксфильтрирует на C2-сервер злоумышленников. Эта информация помогает им планировать следующие шаги атаки.
Инструмент VSS Copying Tool позволяет злоумышленникам взаимодействовать со службой теневого копирования томов (VSS) через вызовы API с использованием связанной библиотеки AlphaVSS.NET и похищать файлы из существующих теневых копий томов, даже если эти файлы используются приложениями.




=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + Message
 Write-up, Topic of Support
 ***
 Thanks: 
 quietman7
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *