El ransomware es un tipo de malware que cifra los archivos de las víctimas y les exige un rescate para recuperarlos. Es una de las amenazas más peligrosas y lucrativas para la seguridad informática, ya que puede afectar tanto a individuos como a organizaciones de todo tipo y tamaño.
Uno de los grupos de ransomware más activos y recientes es Play, también conocido como PlayCrypt. Este grupo se dio a conocer en junio de 2022 y desde entonces ha atacado a numerosos objetivos en Estados Unidos, Brasil, Argentina, Alemania, Bélgica y Suiza. En este artículo, vamos a explicar qué es el ransomware Play, cómo funciona, qué lo diferencia de otros grupos de ransomware y cómo podemos protegernos de él.
¿Qué es el Play Ransomware?
El ransomware es un tipo de software malicioso diseñado para bloquear el acceso a un sistema informático hasta que se pague un rescate. Recientemente, ha surgido una variante conocida como Play Ransomware, la cual ha capturado la atención de la comunidad de ciberseguridad debido a su naturaleza comercial.
Te podrá interesar leer: Detección de Ataques de Ransomware con Wazuh
¿Cómo Funciona el Play Ransomware?
La variante de ransomware conocida como Play ahora se ofrece "como un servicio" a otros actores maliciosos, según lo reveló una reciente investigación de Adlumin. La investigación destaca una notable consistencia en los ataques, sugiriendo que los afiliados están adquiriendo Play como Ransomware-as-a-Service (RaaS) y siguiendo meticulosamente las directrices proporcionadas.
"La similitud notable entre los ataques indica que son obra de afiliados usando el RaaS Play, siguiendo al pie de la letra los manuales proporcionados", explicó Adlumin en un informe.
Te podrá interesar leer: Ransomware as a Service: Una Amenaza Alarmante
Este análisis se basa en varios incidentes de ransomware Play observados por Adlumin, abarcando diversos sectores y empleando tácticas casi idénticas en secuencias similares. Entre las tácticas identificadas se incluye el camuflaje del archivo malicioso en la carpeta de música pública (C:...\public\music), el uso de una contraseña uniforme para crear cuentas de alto privilegio, y la implementación de comandos idénticos en los ataques.
Play, también conocido como Balloonfly y PlayCrypt, se dio a conocer en junio de 2022. Este ransomware explota vulnerabilidades en el Microsoft Exchange Server, específicamente ProxyNotShell y OWASSRF, para infiltrarse en las redes. Una vez dentro, elimina herramientas de administración remota como AnyDesk y procede a desplegar el ransomware.
Además de emplear herramientas especializadas para la recolección de datos, para facilitar la extorsión doble, un aspecto distintivo de Play frente a otros grupos de ransomware es que sus propios desarrolladores también ejecutaban los ataques. Este nuevo avance señala un giro significativo en sus operaciones, consolidando su evolución hacia un modelo de Ransomware-as-a-Service (RaaS) y convirtiéndolo en una opción atractiva para los ciberdelincuentes.
"La oferta de paquetes de RaaS que incluyen todo lo necesario para un ataque, desde manuales hasta foros de soporte y asistencia en la negociación de rescates, es tentadora para los novatos en hacking, animándolos a probar suerte", explicó Adlumin.
"Considerando que actualmente puede haber más novatos que hackers experimentados, las empresas y autoridades deben estar alerta y prepararse para un incremento en la frecuencia de estos incidentes", agregó la compañía.
¿Qué diferencia al ransomware Play de otros grupos de ransomware?
El ransomware Play tiene algunas características que lo distinguen de otros grupos de ransomware, como:
- El uso de un cifrado simétrico en lugar de un cifrado asimétrico. Esto significa que el ransomware Play usa la misma clave para cifrar y descifrar los archivos, en lugar de usar una clave pública para cifrarlos y una clave privada para descifrarlos. Esto hace que el proceso de cifrado sea más rápido, pero también más vulnerable a posibles ataques de fuerza bruta o análisis de código.
- El uso de un algoritmo de cifrado personalizado en lugar de uno estándar. El ransomware Play usa un algoritmo de cifrado propio basado en el cifrado de flujo RC4, en lugar de usar un algoritmo de cifrado conocido y probado, como AES o RSA. Esto hace que el cifrado sea más difícil de analizar y romper, pero también más propenso a errores y fallos.
- La ausencia de un mecanismo de doble extorsión. El ransomware Play se limita a cifrar los archivos de las víctimas y pedirles un rescate, sin amenazar con publicar o vender sus datos en caso de que no paguen. Esto contrasta con otros grupos de ransomware, como REvil o Ryuk, que además de cifrar los archivos, los roban y los suben a sitios web donde los exponen o los venden a otros ciberdelincuentes.
- La presencia de un programa de afiliados. El ransomware Play funciona como un servicio de ransomware como servicio (RaaS), donde los atacantes ofrecen su ransomware a otros ciberdelincuentes a cambio de una comisión por cada rescate pagado. Esto hace que el ransomware Play se distribuya más ampliamente y se adapte a diferentes objetivos y sectores.
Te podría interesar leer: Ataque de Ransomware con Doble Extorsión
¿Cómo protegerse del ransomware Play?
La mejor forma de protegerse del ransomware Play es prevenir su infección, siguiendo algunas buenas prácticas de seguridad, como:
- Mantener el sistema operativo y el software actualizados con los últimos parches de seguridad, para evitar que el ransomware Play explote vulnerabilidades conocidas.
- Usar un antivirus y un firewall de confianza, para detectar y bloquear posibles intentos de infección por parte del ransomware Play.
- Evitar abrir archivos adjuntos o enlaces sospechosos en correos electrónicos de remitentes desconocidos o que parezcan fraudulentos, ya que pueden contener el ransomware Play o redirigir a sitios web infectados.
- Hacer copias de seguridad periódicas de los archivos importantes, tanto en dispositivos externos como en la nube, para poder recuperarlos en caso de que el ransomware Play los cifre.
- Desconectar los dispositivos de almacenamiento externos y las unidades de red cuando no se estén usando, para evitar que el ransomware Play los cifre también.
- Educar y concienciar a los usuarios sobre los riesgos y las señales del ransomware Play, para que sepan cómo actuar en caso de recibir un correo electrónico o una nota de rescate sospechosos.
En caso de que el ransomware Play ya haya infectado el sistema y cifrado los archivos, se recomienda:
- No pagar el rescate, ya que no hay garantía de que los atacantes envíen la clave de descifrado o no vuelvan a atacar. Además, pagar el rescate fomenta el negocio del ransomware y financia actividades delictivas.
- Contactar con las autoridades competentes, para denunciar el incidente y recibir asesoramiento y ayuda.
- Buscar posibles herramientas de descifrado, que puedan romper el cifrado del ransomware Play y recuperar los archivos. Algunas empresas de seguridad informática y organizaciones sin ánimo de lucro, como No More Ransom, ofrecen herramientas de descifrado gratuitas para algunos tipos de ransomware.
- Restaurar los archivos desde una copia de seguridad, si se dispone de ella y no está afectada por el ransomware Play.
Te podrá interesar leer: Evita el Pago de Ransomware: Riesgos del Rescate
El ransomware Play es un grupo de ransomware que se ha hecho famoso por sus ataques a diversos objetivos en todo el mundo. Su modus operandi consiste en cifrar los archivos de las víctimas con un algoritmo de cifrado simétrico y personalizado, y pedirles un rescate para devolverles el acceso. El ransomware Play se diferencia de otros grupos de ransomware por su uso de un cifrado simétrico y personalizado, su ausencia de un mecanismo de doble extorsión y su presencia de un programa de afiliados. Estas características hacen que el ransomware Play sea más rápido, más difícil de analizar y más adaptable, pero también más vulnerable y menos rentable.