Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), Federal Soruşturma Bürosu (FBI) ve Avustralya Sinyalleri Müdürlüğü’nün ASD’si ACSC (ASD), ayrıntılı taktikler, teknikler ve prosedürler (TTPS) ve dikkat çekici oyun yazılımı grubu için sıkıştırma (IOCS) göstergeleri yayınladı.
Mayıs 2025 itibariyle FBI, Haziran 2022’de ortaya çıkmasından bu yana bu fidye yazılımı varyantının Kuzey Amerika, Güney Amerika ve Avrupa’daki önemli ölçeğinin ve etkisinin altını çizen bu tehdit aktörleri tarafından sömürüldüğü iddia edilen yaklaşık 900 varlığı tespit etti.
PlayCrypt olarak da bilinen bu fidye yazılımı grubu, 2024’te en aktif olanlar arasında yer alarak, sofistike bir çift gasp modeli ile geniş bir işletme ve kritik altyapı hedefliyor.
.png
)
4 Haziran 2025’te güncellenen danışmanlık, oyun fidye yazılımı aktörlerinin Fortios (CVE-2018-13379, CVE-2020-12812) ve Microsoft Exchange (Proxynotshell VecurnerAbiles CVE-2012) gibi kamuya açık uygulamalardaki güvenlik açıklarını nasıl kullanarak başlangıç erişimini nasıl kazandığını detaylandırıyor. karanlık web pazarlarından temin edildi.
Giriş için Uzak Masaüstü Protokolü (RDP) ve Sanal Özel Ağlar (VPN) gibi harici bakan hizmetleri (VPN) kullanırlar ve son raporlar, SimpleHelP uzaktan izleme ve yönetim aracı güvenlik açıklarının (CVE-2024-57727) uzaktan kod yürütme için kullanılmasını vurgulamaktadır.
Sofistike çift gasp modelinden etkilenen 900’den fazla varlık
İçeri girdikten sonra grup, Active Directory sorguları için Adfind gibi araçlar ve ağ numaralandırması için bir bilgi çalma olan Grixba gibi araçlar kullanırken, GMER ve IOBIT gibi araçları kullanarak antivirüs yazılımını devre dışı bırakır.
Yanal hareketleri, Kobalt Strike ve SystemBC gibi komut ve kontrol uygulamaları ile kolaylaştırılır ve Mimikatz, alan yöneticisi erişimi kazanmak için kimlik bilgisi dökümü için kullanılır.
Operasyonlarının benzersiz bir yönü, her saldırı için fidye yazılımı ikili olarak yeniden derleniyor, bu da geleneksel kötü amaçlı yazılım algılamasından kaçan ve savunma çabalarını karmaşık hale getiren farklı karmalarla sonuçlanıyor.
Play Ransomware’in etkisi, çift gasp stratejisi, veri sonrası sistemleri şifreleme ve benzersiz @gmx.de veya @web.de e-posta adresleri aracılığıyla kripto para fidye talep etmesi ile güçlendirilir.
Uyumlu olmayan kuruluşlar, genellikle basınç ödemesine doğrudan telefon görüşmeleri eşlik eden grubun TOR ağ sitesinde veri sızıntıları tehditleriyle karşı karşıyadır.
Grubun ESXI varyantı, sanal makineleri kapatırken AES-256 şifrelemesini kullanarak .vmdk ve .vmx gibi uzantılarla dosyaları şifreleyerek sanal ortamları özellikle hedefler.
Danışma, çok faktörlü kimlik doğrulama, normal yazılım yaması, ağ segmentasyonu ve fidye yazılımlarının yayılmasını ve etkisini azaltmak için çevrimdışı şifreli yedeklemelerin korunması dahil olmak üzere acil hafifletme adımlarını vurgulamaktadır.
Kuruluşlar ayrıca, bu gelişen tehdide karşı savunmaları güçlendirmek için raporda belirtilen MITER ATT & CK çerçeve tekniklerine karşı güvenlik kontrollerini doğrulamaya teşvik edilmektedir.
Bu kapsamlı güncelleme, sistemlerini Play Fidyeware’in kalıcı ve gelişen tehdit manzarasına karşı güçlendirmeyi amaçlayan ağ savunucuları için hayati bir kaynak olarak hizmet vermektedir.
Uzlaşma Göstergeleri (IOCS)
| Hash (SHA-256) | Tanım |
|---|---|
| 47b7b2dd88959cd7224a5542ae8d5bce928bfc986bf0d0321532a7515c244a1e | Svchost.dll (arka kapı) |
| 75b525b220169f07aecfb3b1991702fbd9a1e170caf0040d1fcb07c3e819f54a | Arka kapı |
| 1409E010675BF4A40DB0A845B60DB3AAE5B302834E80ADEEC884AEBC55ECCBF7 | Psexesvc.exe (özel oynat “psexesvc”) |
| 0E408AED1ACF902A9F97ABF71CF0DD354024109C5D52A79054C421BE3D93549 | Hrsword.exe (uç nokta korumasını devre dışı bırakır) |
| 6de8dd5757f9a3ac5e2ac28e8a77682d7a29be25c106f785a061dcf582a20dc6 | Hi.exe (fidye yazılımı ile ilişkili) |
Siber güvenlik becerilerinizi yükseltmek için 150’den fazla pratik siber güvenlik kursuyla elmas üyeliği alın – buraya kaydolun