Depuis son apparition en 2022, le groupe Play s’impose comme un acteur majeur dans la catégorie des ransomwares. Opérant selon un modèle de Ransomware-as-a-Service (RaaS), Play cible des organisations de divers secteurs, principalement en Amérique du Nord, en Europe (notamment en Allemagne et en France) et en Amérique latine. Le groupe est connu pour ses techniques d’intrusion développées, son utilisation d’outils légitimes détournés (LOLBins) et sa stratégie de double extorsion.

Tactiques, Techniques et Procédures (TTP) de Play

1. Accès initial et escalade de privilèges

Play exploite des vulnérabilités connues pour pénétrer les systèmes cibles, notamment :

  • Fortinet SSL VPN : CVE-2018-13379, CVE-2020-12812

  • Microsoft Exchange : CVE-2022-41040, CVE-2022-41082

Une fois l’accès obtenu, le groupe utilise des outils tels que Mimikatz pour extraire les identifiants et WinPEAS pour identifier les failles d’élévation de privilèges.

2. Évasion des mécanismes de sécurité

Pour éviter la détection, Play désactive les solutions antivirus et les outils de surveillance à l’aide de programmes comme Process Hacker, PowerTool ou IObit Unlocker. Il supprime également les journaux d’événements Windows à l’aide de wevtutil ou de scripts batch personnalisés.

3. Reconnaissance et mouvements latéraux

Le groupe cartographie l’environnement Active Directory en utilisant des outils tels que BloodHound, ADFind et Grixba. Pour les mouvements latéraux, il déploie des outils comme Cobalt Strike, Empire et SystemBC.

4. Exfiltration et chiffrement des données

Avant de chiffrer les données, Play les exfiltre en les compressant avec WinRAR et en les transférant via WinSCP ou des scripts PHP. Le chiffrement est effectué en utilisant une combinaison de RSA et AES, avec l’ajout de l’extension « .play » aux fichiers. Le groupe supprime également les copies de sauvegarde en utilisant AlphaVSS et désactive la restauration du système.

Schéma représentant la chaine d'infection du groupe PLAY

Schéma représentant la chaine d’infection du groupe PLAY

Modèle opérationnel de Play : double extorsion, RaaS et tactiques furtives

Le groupe Play s’inscrit pleinement dans la logique des attaques modernes dites à double extorsion. Lorsqu’un système est compromis, les opérateurs ou leurs affiliés procèdent à l’exfiltration des données sensibles avant le déploiement du chiffrement, maximisant ainsi leur levier de négociation. En cas de non-paiement, les données peuvent être publiées ou revendues, indépendamment de la récupération technique des fichiers.

Chaque poste infecté voit ses fichiers renommés avec l’extension “.play”, rendant les données inexploitables sans clé de déchiffrement. Une note de rançon intitulée ReadMe.txt est déposée dans le répertoire racine (généralement *C:*) avec des instructions de contact.

Play repose également sur un modèle Ransomware-as-a-Service (RaaS). Le noyau malveillant est développé et maintenu par une équipe centrale, tandis que sa diffusion est confiée à des affiliés. Ces derniers infiltrent les réseaux ciblés en exploitant des vulnérabilités connues (VPN Fortinet, RDP, Microsoft Exchange) ou via des campagnes de phishing ciblé. Ils exécutent le chiffrement et versent un pourcentage des rançons à l’équipe centrale, selon des modalités contractuelles internes.

Enfin, Play s’appuie sur une technique avancée de persistance furtive via les Living off the Land Binaries (LOLBins) : l’utilisation d’outils légitimes déjà présents sur les systèmes d’exploitation (comme PowerShell, WMI, ou Certutil) pour éviter les détections classiques. Cette approche réduit la signature de l’attaque et complique sa détection par des antivirus traditionnels ou des solutions EDR mal configurées.

Recommandations de défense – avec les solutions ITrust

Pour faire face à une menace comme Play, les entreprises doivent combiner prévention, détection et réponse à incident. ITrust propose des solutions souveraines et adaptées pour chaque étape du cycle de défense.

1. Identification des vulnérabilités avec IKare

  • IKare est une solution de scan de vulnérabilités en continue. Elle détecte les failles exploitables (VPN, Exchange, RDP…) et propose des remédiations concrètes.

2. Détection comportementale avancée avec Reveelium

  • Reveelium est une plateforme SIEM/UEBA développée par ITrust, intégrant de l’IA pour détecter les anomalies réseau, systèmes et AD. Celle-ci identifie les comportements suspects liés aux techniques de Play : exfiltration, élévation de privilèges, reconnaissance AD, usage de LOLBins,… Reveelium est particulièrement efficace pour détecter les signaux faibles avant l’impact final.

3. Réponse à incident avec le CSIRT ITrust

  • En cas de compromission, le CSIRT d’ITrust peut intervenir rapidement. Il assure la containment, l’analyse forensique, la remédiation, et la restauration sécurisée des environnements. Ce service permet une réduction du temps de réponse et des impacts associés aux ransomwares comme Play.