Recuperação de Ataque Play (PlayCrypt)
Resposta direta
Play (também conhecido como PlayCrypt) é uma família de ransomware ativa desde junho de 2022, com foco em América Latina e Europa. Adiciona extensão .play aos arquivos e deixa nota 'ReadMe.txt'. Acessa por vulnerabilidades FortiOS (CVE-2022-41082, CVE-2022-41040, conhecidas como ProxyNotShell) e RDP. Sem decryptor público disponível. HD Doctor opera resposta técnica focada em Windows Server, Exchange e Fortinet.
Play ataca preferencialmente alvos em América Latina (Brasil, México, Argentina, Chile). Mantenha Fortinet e Exchange Server estritamente atualizados.
O que é Play
Play é uma operação RaaS ativa desde junho de 2022, com base de afiliados ligada à Rússia. Listou mais de 600 vítimas em seu site darknet até 2026, incluindo governo americano (CISA AA23-352A), prefeituras europeias e empresas latino-americanas. Usa AES + RSA, intermitência sutil (carga útil que se renomeia para cada execução) e exfiltração antes de cifrar via WinSCP/WinRAR. Característica: nota curta, apenas com email proton@protonmail. Diferente do padrão, NÃO publica o valor exigido.
Sintomas de infecção por Play
- Arquivos com extensão .play em servidores
- Nota 'ReadMe.txt' curta com email proton.me
- Carga útil renomeada a cada execução (ofuscação intermitente)
- Logs Exchange OWA com requests anômalos (ProxyNotShell)
- Fortinet com tunnel SSL VPN sem MFA
- Cobalt Strike Beacon + SystemBC proxy
Vetores de ataque típicos de Play
| Causa | % | Recuperável? |
|---|---|---|
| FortiOS SSL-VPN (CVE-2022-42475, CVE-2023-27997) | 40% | Patch + MFA + restore |
| Microsoft Exchange (ProxyNotShell CVE-2022-41082) | 30% | Patch + restore |
| RDP exposto | 18% | Hardening + restore |
| Phishing direcionado | 7% | Treinamento + restore |
| Outros / não identificado | 5% | Análise caso a caso |
Distribuição baseada em CISA AA23-352A.
O que NÃO fazer ao identificar Play
- 1.Não restaure Exchange sem patch. ProxyNotShell (CVE-2022-41082/41040) é a entrada principal. Restore sem patch reabre a porta.
- 2.Não negocie via Protonmail anonimamente. Antes de contato, monte cadeia de custódia e tenha jurídico envolvido. Toda comunicação deve ser documentada.
- 3.Não pague sem confirmar exfiltração. Play SEMPRE exfiltra. Pagar 'só para descriptografar' ainda deixa dados em mãos do atacante.
- 4.Não ignore log Fortinet. Logs Fortinet contêm timeline detalhado da sessão SSL-VPN do atacante. Preserve antes de qualquer ação.
- 5.Não desconecte Exchange antes de snapshot. Memória do Exchange contém artefatos forenses críticos (sessões, tokens, scripts em execução).
Processo HD Doctor para resposta Play
Resposta focada em Exchange Server, Fortinet e Windows Server.
- 1
Triagem e contenção (0 a 6h)
Isolamento, snapshot Exchange e DCs, captura de RAM, preservação de logs Fortinet e Exchange OWA/IIS, desativação imediata de SSL-VPN.
- 2
Forense (6 a 48h)
Análise de logs Fortinet (autenticação SSL-VPN), Exchange (ProxyNotShell), identificação do binário Play (carga renomeada), exfiltração via WinSCP/WinRAR.
- 3
Avaliação de decryptor (24h)
Sem decryptor público para Play. Foco em restore de backup e reconstrução.
- 4
Restore Windows (3 a 15 dias)
Restore Veeam/Commvault de Exchange, AD e file servers. Recuperação granular de mailboxes via Veeam Explorer for Exchange.
- 5
Hardening e laudo (5 a 25 dias)
Patch Fortinet (CVE-2022-42475, CVE-2023-27997), Exchange (todos os CVEs recentes), MFA obrigatório, EDR, laudo pericial e ANPD.
SLA típico para resposta Play
| Cenário | Prazo |
|---|---|
| Triagem e contenção | 0 a 6h |
| Forense Exchange + Fortinet | 24 a 72h |
| Restore Exchange e AD | 3 a 12 dias úteis |
| Restore granular de mailboxes | 5 a 20 dias úteis |
| Laudo técnico final | 15 a 30 dias úteis |
- Play não tem decryptor público; backup imutável é o controle principal.
Sistemas afetados por Play
| Família | Suporte | Notas |
|---|---|---|
| Microsoft Exchange 2013-2019 | ✅ Resposta completa | ProxyNotShell, restore + patch |
| Fortinet FortiGate (FortiOS) | ✅ Forense + hardening | Entrada mais comum |
| Windows Server 2012R2-2022 | ✅ AD, file server, SQL | Restore Veeam |
| Active Directory | ✅ Recuperação completa | DCs comprometidos |
| Backup Veeam / Commvault | ✅ Restore guiado | Forense de manipulação |
Por que HD Doctor para resposta Play
- 🎮Equipe com casos reais de Play em América Latina, com playbook validado.
- ⚡Resposta 24×7 em até 6h, engenheiro Exchange + Fortinet direto.
- 💾Restore granular Veeam Exchange para recuperar mailboxes individualmente.
- 🛡️Hardening específico Fortinet + Exchange pós-incidente.
- 📋Laudo pericial em até 72h para ANPD e uso judicial.
Perguntas frequentes sobre Play
Existe decryptor gratuito para Play?
Não. Não há decryptor público para Play em 2026. Restore de backup limpo é o caminho principal de recuperação.
Por que Play foca em América Latina?
Grupos de língua russa frequentemente miram América Latina pela menor maturidade média de defesa cibernética e baixa cooperação de aplicação da lei. CISA AA23-352A documenta casos em Brasil, Argentina, Chile, México.
Devo pagar resgate ao Play?
Não recomendamos. Play SEMPRE exfiltra antes de cifrar. Pagamento não previne vazamento e financia ataques futuros. Foco em restore + ANPD + comunicação aos titulares.
Como evitar Play?
Cinco controles: (1) Fortinet e Exchange estritamente atualizados; (2) MFA em SSL-VPN; (3) Exchange OWA com WAF; (4) EDR em DCs e servidores críticos; (5) backup imutável offline. Nosso laudo inclui plano priorizado.
Quanto tempo até restore completo?
Com backup Veeam imutável: 5 a 15 dias para servidores críticos. Sem backup limpo: 30 a 60 dias dependendo do escopo. Recuperação granular de mailboxes individuais: 1 a 5 dias por mailbox crítico.
Sob ataque Play / PlayCrypt agora?
Especialistas Exchange + Fortinet. Resposta 24×7.