En aquests tres anys, les accions de Play han deixat un rastre de 900 víctimes.

El grup de programari de segrest Play, conegut també com a PlayCrypt, torna a ser aquí i ha ressorgit amb més força i ‘mala bava’ que mai. 

L’FBI, la CISA i l’ASD australiana han emès un comunicat conjunt on adverteixen que ha perfeccionat les tècniques i ampliat l’abast.

Play va ser identificat per primera vegada el maig de 2022 i en aquests tres anys gairebé 900 entitats s’han vist compromeses a nivell mundial. Les seves víctimes estan, principalment, a Amèrica del Nord, Amèrica del Sud, Europa i Austràlia. 

Aquest programari de segrest es va fer popular pel seu enfocament senzill: no demanava una quantitat de rescat, ni tampoc incorporava enllaç de pagament. A la nota de pagament només afegia una adreça de correu electrònic. Així, esperava que les víctimes es posessin en contacte i si no fan el pas reben una trucada. 

El grup utilitza un model de doble extorsió, primer roben les dades i després xifren els sistemes. Si les víctimes no paguen poden quedar exposades públicament al lloc de filtracions de Play radicat a Tor. 

L’amenaça ha afegit nous trucs. Segons una actualització del juny, han començat a aprofitar vulnerabilitats a SimpleHelp, una eina d’accés remot usada en entorns corporatius. A través de fallades descobertes aquest mateix any, els atacants han aconseguit colar-se en sistemes als EUA per executar ordres a distància i prendre el control.

«El binari del programari de segrest Play es torna a compilar per a cada atac, cosa que genera valors hash únics per a cada implementació, cosa que complica la detecció del programari de segrest per part de programes antimalware i antivirus», destaquen les autoritats.

Tot i això, no han abandonat les seves tècniques de sempre: exploten fallades ja conegudes en sistemes com FortiOS i Microsoft Exchange, i ataquen punts d’accés com ara connexions VPN i escriptoris remots (RDP). També compren credencials robades al web fosc per aplanar el camí.

Més agressius

El més inquietant és el seu gir cap a l’assetjament psicològic. Algunes víctimes no només reben correus d’extorsió: també trucades telefòniques amb amenaces de filtrar informació robada. Aquestes trucades es dirigeixen a telèfons públics o d’atenció al client, localitzats fàcilment a Internet. L’objectiu és clar: espantar les víctimes perquè paguin.

A més, Play ha ampliat el seu arsenal: ja no només ataquen Windows, sinó també infraestructura virtual ESXi, usada en servidors de moltes empreses. La seva variant apaga màquines virtuals, xifra fitxers clau i deixa notes de rescat en diversos punts del sistema. Tot amb xifratge AES-256 i opcions de personalització, cosa que els dona flexibilitat per adaptar cada atac.