O FBI publicou uma atualização conjunta com a CISA e o Centro Australiano de Segurança Cibernética informando que o grupo de ransomware Play comprometeu cerca de 900 organizações até maio de 2025, incluindo empresas de setores críticos. O número triplica o total de vítimas reportadas em outubro de 2023.
Leia também
Phishing lidera crescimento de ameaças com 466%
Pacote PyPi malicioso rouba credenciais de devs
Segundo o comunicado, a quadrilha, também chamada de Playcrypt, utiliza variantes recompiladas de malware em todos os ataques, o que dificulta sua detecção. Em alguns casos, vítimas foram ameaçadas por telefone para que pagassem o resgate e evitassem o vazamento de dados.
Os operadores do Play também se valeram de vulnerabilidades recentes (CVE-2024-57726, CVE-2024-57727 e CVE-2024-57728) em ferramentas de gerenciamento remoto como o SimpleHelp RMM. Em pelo menos um incidente, atacantes criaram contas de administrador e instalaram backdoors com Sliver beacons, possivelmente preparando sistemas para ataques futuros.
Atuando como uma operação de ransomware como serviço (RaaS), o Play rouba documentos antes de criptografar os sistemas das vítimas e usa e-mail como canal de negociação, sem página no Tor. A quadrilha ainda adota uma ferramenta própria para copiar arquivos de cópias de sombra, mesmo em uso por outros aplicativos.
Entre as vítimas conhecidas do Play estão Rackspace, as cidades de Oakland (EUA) e Antuérpia (Bélgica), o condado de Dallas, a varejista Arnold Clark, a rede Krispy Kreme e a fabricante de semicondutores Microchip Technology.
As autoridades recomendam a aplicação imediata de atualizações de segurança, uso de autenticação multifator, foco em serviços críticos e manutenção de backups offline com rotinas testadas de recuperação.
