Internationale Behörden warnen vor Play-Ransomware: Neue Angriffsmethoden entdeckt

24. Juni 2025

CISA, das Federal Bureau of Investigation (FBI) und das Australian Cyber Security Centre (ASD’s ACSC) des Australian Signals Directorate haben eine aktualisierte Warnung zu Play Ransomware, auch bekannt als Playcrypt, herausgegeben. Diese Warnung hebt neue Taktiken, Techniken und Verfahren hervor, die von der Play-Ransomware-Gruppe verwendet werden, und enthält aktualisierte Indikatoren für Kompromittierung (IOCs), um die Erkennung von Bedrohungen zu verbessern.

Seit Juni 2022 hat Playcrypt verschiedene Unternehmen und kritische Infrastrukturen in Nordamerika, Südamerika und Europa angegriffen und sich zu einer der aktivsten Ransomware-Gruppen im Jahr 2024 entwickelt. Das FBI hat bis Mai 2025 etwa 900 Unternehmen identifiziert, die mutmaßlich von diesen Ransomware-Akteuren angegriffen wurden.

Empfohlene Maßnahmen zur Risikominderung umfassen:

• Implementierung einer Multi-Faktor-Authentifizierung;
• Offline-Datensicherung;
• Entwicklung und Test eines Wiederherstellungsplans
• Aktualisierung aller Betriebssysteme, Software und Firmware.

Bleiben Sie wachsam und ergreifen Sie proaktive Maßnahmen zum Schutz Ihres Unternehmens.

Diese gemeinsame Cybersecurity-Empfehlung ist Teil der laufenden #StopRansomware-Initiative, deren Ziel es ist, Empfehlungen für Netzwerkadministratoren zu veröffentlichen, in denen verschiedene Ransomware-Varianten und Ransomware-Angreifer detailliert beschrieben werden. Diese #StopRansomware-Hinweise enthalten kürzlich und in der Vergangenheit beobachtete Taktiken, Techniken und Verfahren (TTPs) sowie Indikatoren für Kompromittierung (IOCs), um Unternehmen beim Schutz vor Ransomware zu unterstützen. Unter stopransomware.gov finden Sie alle #StopRansomware-Hinweise und weitere Informationen zu anderen Ransomware-Bedrohungen sowie kostenlose Ressourcen.

Hinweis: Diese ursprünglich am 18. Dezember 2023 veröffentlichte Empfehlung wurde wie folgt aktualisiert:

• 4. Juni 2025: Der Hinweis wurde aktualisiert, um neue TTPs der Play-Ransomware-Gruppe zu berücksichtigen und aktuelle IOCs bereitzustellen bzw. veraltete IOCs zu entfernen, um eine effektive Bedrohungssuche zu ermöglichen.

Aktualisierung vom 4. Juni 2025:

Das Federal Bureau of Investigation (FBI), die Cybersecurity and Infrastructure Security Agency (CISA) und das Australian Cyber Security Centre (ASD’s ACSC) des Australian Signals Directorate veröffentlichen diesen gemeinsamen Hinweis, um die IOCs und TTPs der Play-Ransomware-Gruppe zu verbreiten, die durch FBI-Ermittlungen erst im Januar 2025 identifiziert wurden.

Ende der Aktualisierung

Seit Juni 2022 hat die Ransomware-Gruppe Play (auch bekannt als Playcrypt) eine Vielzahl von Unternehmen und kritischen Infrastrukturen in Nordamerika, Südamerika und Europa angegriffen.

Die Ransomware Play gehörte 2024 zu den aktivsten Ransomware-Gruppen.

Unternehmen sollten noch heute die folgenden Maßnahmen ergreifen, um Cyberbedrohungen durch die Ransomware Play zu mindern:

• Priorisieren Sie die Behebung bekannter ausgenutzter Schwachstellen.
• Aktivieren Sie nach Möglichkeit die Multi-Faktor-Authentifizierung (MFA) für alle Dienste, insbesondere für Webmail, VPN und Konten, die auf kritische Systeme zugreifen.
• Patch und aktualisieren Sie Software und Anwendungen regelmäßig auf die neuesten Versionen und führen Sie regelmäßig Schwachstellenanalysen durch.

Update vom 4. Juni 2025:

Im Mai 2025 waren dem FBI etwa 900 betroffene Unternehmen bekannt, die mutmaßlich von den Ransomware-Aktoren angegriffen worden waren.

Ende des Updates

In Australien wurde der erste Vorfall mit der Play-Ransomware im April 2023 beobachtet, der jüngste im November 2023.

Die Play-Ransomware-Gruppe gilt als geschlossene Gruppe, die laut einer Erklärung auf der Website der Gruppe zum Datenleck „die Geheimhaltung von Geschäften garantieren“ soll. Die Akteure hinter der Play-Ransomware wenden ein doppeltes Erpressungsmodell an, bei dem sie Systeme verschlüsseln, nachdem sie Daten exfiltriert haben. Die Lösegeldforderungen enthalten keine anfängliche Lösegeldforderung oder Zahlungsanweisungen. Stattdessen werden die Opfer angewiesen, sich per E-Mail an die Angreifer zu wenden.

Update vom 4. Juni 2025:

Jedes Opfer erhält eine eindeutige E-Mail-Adresse @gmx.de oder @web[.]de für die Kommunikation. Ein Teil der Opfer wird telefonisch kontaktiert und mit der Veröffentlichung der gestohlenen Daten bedroht, um zur Zahlung des Lösegelds zu bewegen.

Ende des Updates

Das FBI, die CISA und das ACSC der ASD empfehlen Unternehmen, die Empfehlungen im Abschnitt „Abwehrmaßnahmen“ dieser CSA umzusetzen, um die Wahrscheinlichkeit und die Auswirkungen von Ransomware-Vorfällen zu verringern. Dazu gehören die Einführung einer Multi-Faktor-Authentifizierung, die Offline-Sicherung von Daten, die Implementierung eines Wiederherstellungsplans und die Aktualisierung aller Betriebssysteme, Software und Firmware.

Zum PDF Download:

aa23-352a-stopransomware-play-ransomware_2.pdf

Quelle: #StopRansomware: Play Ransomware

---

Bild/Quelle: https://depositphotos.com/de/home.html