Play

APT / EstatalG1040
Técnicas (MITRE ATT&CK)26
FonteMITRE ATT&CK

Análise Vexday

Play é um grupo de ransomware ativo desde pelo menos 2022, responsável pela implantação do ransomware Playcrypt contra organizações dos setores empresarial, governamental, de infraestrutura crítica, saúde e mídia na América do Norte, América do Sul e Europa. O grupo adota o modelo de dupla extorsão, exfiltrando dados antes de criptografar os sistemas das vítimas, e é classificado por pesquisadores de segurança como uma operação fechada. Catalogado no MITRE ATT&CK sob o identificador G1040, o Play possui 26 técnicas documentadas e 6 CVEs atribuídas à sua atuação.

Técnicas (MITRE ATT&CK) 26

Como o grupo opera, mapeado pela matriz MITRE ATT&CK e organizado pelas fases de um ataque.

Preparação de recursos
MalwareTool
Acesso inicial
Exploit Public-Facing Application
Execução
PowerShellWindows Command Shell
Persistência
External Remote Services
Acesso a credenciais
LSASS Memory
Descoberta
System Network Configuration DiscoveryRemote System DiscoveryProcess DiscoverySystem Information DiscoveryFile and Directory DiscoverySecurity Software Discovery
Movimento lateral
SMB/Windows Admin Shares
Coleta
Archive via Utility
Comando e controle
Ingress Tool Transfer
Exfiltração
Data Transfer Size LimitsExfiltration Over Alternative Protocol
Impacto
Financial Theft
defense-impairment
Disable or Modify ToolsClear Windows Event Logs
stealth
Command ObfuscationFile DeletionValid AccountsDomain AccountsLocal Accounts

Vulnerabilidades exploradas 6

CVEs que este grupo é conhecido por explorar, segundo o MITRE ATT&CK. Ordenadas por gravidade real.

CVE-2018-13379CRITICALEPSS 100%KEVCVE-2022-41082HIGHEPSS 100%KEVCVE-2022-41040HIGHEPSS 100%KEVCVE-2014-7169CRITICALEPSS 100%KEVCVE-2020-12812CRITICALEPSS 49%KEVCVE-2016-6662EPSS 68%

O grupo Play usa técnicas e explora falhas reais. O Pentest Autônomo com IA da TrueHacking simula esses ataques na sua infraestrutura e traz mais segurança para sua aplicação.

Conhecer o Pentest Autônomo com IA →