Play Ransomware IOCs

ransomware IOC

Play - относительный новичок в мире программ-вымогателей, впервые обнаруженный в июне 2022 года. В данном отчете под Play подразумевается как группа, разработавшая и распространившая его, так и название исполняемого файла ransomware. Как и многие другие операторы в этой области, Play использует методику двойного вымогательства: шифрует конечные точки и/или другую инфраструктуру, представляющую ценность для организации, а затем угрожает опубликовать эксфильтрованные данные с этих машин в Интернете, если не будет выплачен выкуп.

Play Ransomware

Play использует ряд распространенных методов получения доступа к среде, включая фишинг, действительные скомпрометированные учетные записи и открытые серверы RDP (Remote Desktop Protocol). После создания плацдарма используются LOLBINS (Living Off the Land Binaries) для разведки и последующей подготовки почвы для выполнения вредоносного ПО на интересующих машинах.

Исполняемый файл ransomware основан на Microsoft Visual C++ и содержит несколько антиотладочных и антианалитических функций, замедляющих расследование деятельности вредоносной программы. Эти функции включают мусорный код (несвязанные инструкции, которые не служат полезной цели) и возвраты функций, которые загоняют выполнение в тупик.

При запуске ransomware шифрует все интересующие файлы, такие как личные и рабочие документы (системные файлы она не трогает), и оставляет их с расширением ".PLAY".

После завершения шифрования в корень основного диска (например, C:\) добавляется записка с выкупом под названием "ReadMe.txt". Эта записка содержит ссылку на TOR-страницы группы и контактный адрес электронной почты.

Indicators of Compromise

SHA256

  • 006ae41910887f0811a3ba2868ef9576bbd265216554850112319af878f06e55
  • 0ed328af77f2576071bfd543938fc01101daac01f216dc43bc091a8da4aff18d
  • 12d1a0dc37d877dbf81bd18e8bd57b2843cc254c9a3cfcbecb70305612e60cae
  • 157c43a3a4e014827e42cf4dd20cc8efa71cdf098f5d1d04b6cd1a972d6a8c7a
  • 176476f9d924d83343a51a90ade097d12b7594dc5dbca1771c440047dfbe81eb
  • 2ab190542c3ec7b2b6e6d4bccce4c5d6a572f98c6bc89b014fea0c8fd6db6723
  • 2b4111121fb35b46665c42e3ea2cf1b8eda5afce580e310465cb259bb1abd053
  • 2e9126dfad03bdaf54f9b29ade42038c83f65ac7288376f45768901660f62d7b
  • 3a36e917a4a6587290a393d5b10d0bd42f99cf0c72a2e7de751a4bfaeb9d30c5
  • 3e6317229d122073f57264d6f69ae3e145decad3666ddad8173c942e80588e69
  • 47c7cee3d76106279c4c28ad1de3c833c1ba0a2ec56b0150586c7e8480ccae57
  • 51f44e31b0f3718a5d145a1f77fd79cbd7ff21fecf8bba3181fea019b508cfeb
  • 5573cbe13c0dbfd3d0e467b9907f3a89c1c133c774ada906ea256e228ae885d5
  • 5e94626c6bcb825acede3826811ed693644d6dbb7caeeefb8575c2ec711a65a6
  • 5eca08ddca898427de5ab13fedf25426102c3a0621d086b63f2e37d2d04ba3e9
  • 608e2b023dc8f7e02ae2000fc7dbfc24e47807d1e4264cbd6bb5839c81f91934
  • 703075181922eb8db8d23279eaed8f7263dfa2b64383cff675da4cedc2394af5
  • 73e19be4da76bb4e52cb82493c75690977fc3a5f589a9b47e834362545ef512a
  • 757524b09e5d4f2399172c4ac0f6996ec34dec90110542973d438d5370aff280
  • 7d14b98cdc1b898bd0d9be80398fc59ab560e8c44e0a9dedac8ad4ece3d450b0
  • 8556dfe5582a5647a5e96cd77e6239874504a01a9c7b9e512e70329ec6f61aea
  • 8962de34e5d63228d5ab037c87262e5b13bb9c17e73e5db7d6be4212d66f1c22
  • 8d94028bfaac5bef84c56b01f40e429ae4cdf799b2b755dfba9eee3b72448b5b
  • 92f3abed62d710064a19f2a50c4482cd02adfd821ace4c2f3030f96290166189
  • 957a6aee2437a5c4d31372af2f6bceb29e1c7a49d650fe207cefc624bf6bca82
  • a29e20d89e8c933e05b690b2779f82716fb31f688594b99d868e4382058caa8f
  • bb51255ec929ae1fb34981b8b988769027ee49e68c0958a4a2a76b59a0dc1cff
  • bbd84d10f6a56bfeca23fd5d11d9e370fdfa91be73aa60c9d460b2671145c109
  • dcaf62ee4637397b2aaa73dbe41cfb514c71565f1d4770944c9b678cd2545087
  • dd101db5d9503f33a0c23d79da3642e999375748f7c1532e98c813b114bdfa1a
  • e4f32fe39ce7f9f293ccbfde30adfdc36caf7cfb6ccc396870527f45534b840b
  • e641b622b1f180fe189e3f39b3466b16ca5040b5a1869e5d30c92cca5727d3f0
  • f054f373cead893f868fd9b4acc24f751afefbb80cf961e305f97741f952a641
  • f0a3047e9d557e2150501e302d5e96a1c2669858fb0072f97024fe0dd07d5271
  • f18bc899bcacd28aaa016d220ea8df4db540795e588f8887fe8ee9b697ef819f
  • f39d6741cbb99a81decbe5e75c07e846b5a36b40bc1bb0c0c61415300cc43b6c
  • f5c2391dbd7ebb28d36d7089ef04f1bd9d366a31e3902abed1755708207498c0
  • f6072ff57c1cfe74b88f521d70c524bcbbb60c561705e9febe033f51131be408
SEC-1275-1
Добавить комментарий