¿Qué es Play ransomware?

Play (también conocido como PlayCrypt) es un grupo de ransomware activo desde junio de 2022. Se distingue por el uso de herramientas propietarias de reconocimiento y exfiltración, técnicas de evasión avanzadas y un foco geográfico en Europa y Latinoamérica.

¿Qué herramientas propias usa Play?

Play desarrolló dos herramientas propietarias: Grixba (herramienta de network scanning y enumeración) y VSS Copying Tool (herramienta para acceder a shadow copies antes de eliminarlas, extrayendo datos de versiones anteriores de archivos).

¿Cómo evade la detección?

Play usa técnicas de evasión avanzadas: cifrado intermitente para minimizar el tiempo de actividad de I/O, LOLBins para evitar descargar herramientas externas, ofuscación de scripts PowerShell, y desactivación selectiva de productos de seguridad con herramientas del kernel.

¿Qué vulnerabilidades explota Play?

Play ha explotado ProxyNotShell en Microsoft Exchange (CVE-2022-41040, CVE-2022-41082) y vulnerabilidades en FortiOS (CVE-2018-13379, CVE-2020-12812) como vectores de acceso inicial.

¿Play opera como RaaS?

La estructura exacta no está clara. CISA advierte que Play puede operar como un grupo cerrado o como RaaS limitado. No recluta afiliados abiertamente en foros, lo que sugiere un modelo cerrado o semi-cerrado.

AvanzadoransomwarePlayPlayCryptevasiónFortiOSExchange

Play Ransomware: Técnicas de Evasión Avanzadas y Foco Europeo

Análisis técnico de Play (PlayCrypt) ransomware: técnicas de evasión avanzadas, cifrado intermitente, herramientas propietarias (Grixba, VSS Copying Tool), explotación de FortiOS y Exchange, y su foco en víctimas europeas y latinoamericanas.

MalwareIntel Research·21 de mayo de 2026·7 min lectura

Serie: Ransomware — Parte 14

Un grupo que prefiere la discreción

Play (PlayCrypt) lleva operando desde junio de 2022 sin generar los titulares de LockBit o BlackCat, y eso es deliberado. Su estrategia es mantener un perfil bajo, atacar de forma consistente, y evitar los ataques de alto perfil que atraen la respuesta de law enforcement y la atención mediática.

Esta discreción no significa falta de sofisticación. Play destaca por el desarrollo de herramientas propietarias de reconocimiento, técnicas de evasión que dificultan la detección por EDR, y un foco geográfico particular en Europa (especialmente Alemania, Suiza, Francia) y Latinoamérica (Argentina, Brasil).

Perfil del grupo

Atributo	Detalle
Activo	Junio 2022 - presente
Nombres	Play, PlayCrypt, Balloonfly (Symantec)
Modelo	Grupo cerrado o RaaS semi-cerrado
Extensión de archivo	`.play`
Nota de rescate	`ReadMe.txt` (minimalista)
Leak site	"PLAY NEWS" en Tor
Foco geográfico	Europa, EEUU, Latinoamérica

Vectores de acceso inicial

Microsoft Exchange: ProxyNotShell

Play fue uno de los primeros grupos en explotar las vulnerabilidades ProxyNotShell de Microsoft Exchange:

CVE-2022-41040: SSRF (Server-Side Request Forgery) en Exchange
CVE-2022-41082: Remote Code Execution en Exchange

La combinación de ambas vulnerabilidades permitía ejecución remota de código en servidores Exchange expuestos a Internet. Play explotó esta cadena para obtener acceso inicial a redes corporativas.

FortiOS

Play ha explotado múltiples vulnerabilidades de Fortinet:

CVE-2018-13379: path traversal que expone credenciales VPN
CVE-2020-12812: authentication bypass en FortiOS SSL VPN

Ambas vulnerabilidades son antiguas pero siguen siendo explotables en organizaciones que no actualizan firmware.

Otros vectores

Credenciales VPN comprometidas (sin MFA)
RDP expuesto
Cuentas válidas de infostealer logs

Herramientas propietarias

Grixba: network scanner custom

Play desarrolló Grixba, una herramienta de reconocimiento de red escrita en .NET que:

Enumera hosts activos en la red
Identifica software de seguridad instalado (AV, EDR)
Lista shares de red y sus permisos
Identifica la topología de Active Directory
Genera un informe para los operadores con el mapeo completo

Grixba es significativa porque es una herramienta propietaria, no disponible públicamente. Esto dificulta la creación de firmas de detección (a diferencia de BloodHound o AdFind que tienen firmas conocidas).

VSS Copying Tool

Una herramienta particularmente ingeniosa: antes de eliminar las shadow copies, Play usa su VSS Copying Tool para:

Acceder a las Volume Shadow Copies
Extraer versiones anteriores de archivos de interés (credenciales, documentos sensibles)
Copiar estos archivos al staging area para exfiltración
Solo entonces eliminar las shadow copies

Esto invierte la lógica habitual: las shadow copies normalmente se eliminan para prevenir la recuperación. Play las usa como fuente de datos adicional antes de destruirlas.

Análisis técnico del locker

Cifrado

Componente	Especificación
Cifrado simétrico	AES-256 (modo RSA + AES hybrid)
Cifrado asimétrico	RSA-1024 (versiones tempranas), RSA-2048 (posterior)
Cifrado intermitente	Sí, bloques de 0x100000 bytes (1 MB)
Extensión	`.play`
Plataformas	Windows, Linux/ESXi

Cifrado intermitente

Play usa cifrado intermitente basado en tamaño:

Archivos menores a 0x3FFFFFFF bytes (~1 GB): cifrado parcial, dos bloques al inicio del archivo
Archivos mayores a 0x3FFFFFFF bytes: cifrado de tres bloques distribuidos (inicio, medio, final)

Cada bloque cifrado es de 0x100000 bytes (1.048.576 bytes, 1 MB). Esto significa que un archivo de 10 GB solo tiene 3 MB cifrados pero queda inutilizable.

Nota de rescate minimalista

La nota de rescate de Play es inusualmente corta:

PLAY
Hi!

Your files have been encrypted.
To decrypt your files please contact us.

email: [email]@[domain]
email: [email2]@[domain]

Your ID: [unique_id]

Sin countdown timers, sin amenazas elaboradas, sin instrucciones detalladas. Contacto por email (normalmente ProtonMail o Tutanota), no por portal web en Tor. Esta simplicidad dificulta el análisis automatizado y la atribución.

Técnicas de evasión

Play implementa múltiples técnicas de evasión:

LOLBins extensivo: uso intensivo de binarios legítimos de Windows:

wmic para reconocimiento de red y ejecución remota
nltest para enumerar Domain Controllers
PsExec de Sysinternals para movimiento lateral
certutil para descarga de herramientas

Ofuscación de PowerShell: scripts PowerShell ofuscados con encoding, concatenación de strings y variables intermedias.

BYOVD: uso de drivers vulnerables firmados para desactivar productos de seguridad desde kernel mode.

Timestomping: modificación de timestamps de archivos creados por el atacante para dificultar la timeline forense.

Limpieza de logs: borrado selectivo de Event Logs de Windows:

wevtutil cl Security
wevtutil cl System
wevtutil cl Application

Ataques notables

Víctima	Fecha	Sector	País
City of Oakland	Feb 2023	Gobierno	EEUU
Rackspace	Dic 2022	Tecnología	EEUU
Arnold Clark	Dic 2022	Automoción	UK
A10 Networks	Ene 2023	Tecnología	EEUU
City of Lowell	Abr 2023	Gobierno	EEUU
Microchip Technology	Ago 2024	Semiconductores	EEUU
Kreishandwerkerschaft Westfalen-Süd	2023	Artesanía/Gremios	Alemania

City of Oakland

El ataque a la Ciudad de Oakland (California) en febrero de 2023 fue el más visible:

La ciudad declaró estado de emergencia
Servicios municipales (permisos, pagos, sistemas financieros) interrumpidos semanas
Datos sensibles de empleados exfiltrados
Recuperación costó meses y millones de dólares

Mapeo MITRE ATT&CK

Táctica	Técnica	ID
Initial Access	Exploit Public-Facing Application	T1190
Execution	PowerShell	T1059.001
Execution	Windows Management Instrumentation	T1047
Persistence	Scheduled Task	T1053.005
Privilege Escalation	Exploitation for Privilege Escalation	T1068
Defense Evasion	BYOVD	T1068
Defense Evasion	Indicator Removal: Clear Windows Event Logs	T1070.001
Defense Evasion	Timestomp	T1070.006
Discovery	Network Share Discovery	T1135
Discovery	System Information Discovery	T1082
Lateral Movement	Remote Services: SMB	T1021.002
Exfiltration	Exfiltration Over Web Service	T1567
Impact	Data Encrypted for Impact	T1486
Impact	Inhibit System Recovery	T1490

Detección

Indicadores específicos de Play

Indicador	Tipo	Confianza
Extensión `.play`	Archivo	Alta
`ReadMe.txt` con "PLAY" como primera línea	Nota	Alta
Grixba (.NET binary, network enumeration)	Proceso	Alta (si se tiene hash)
`wevtutil cl Security` + System + Application en secuencia	Comando	Alta
Cifrado de bloques de exactamente 0x100000 bytes	Patrón I/O	Media
Contacto vía ProtonMail/Tutanota en nota de rescate	Texto	Media

Prioridades de detección

Parchear Exchange y FortiOS: los vectores de acceso principal
Monitorizar ejecución de wevtutil cl: limpieza de logs es un indicador fuerte
Detectar .NET binaries desconocidos: Grixba no tiene firma pública
Baseline de comunicaciones: alertar en emails salientes a ProtonMail/Tutanota desde servidores (posible C2 via email)

Fuentes y referencias

CISA. "#StopRansomware: Play Ransomware." Advisory AA23-352A, December 2023.
Trend Micro. "Play Ransomware Attack Analysis." Trend Micro Research, 2023.
Symantec. "Balloonfly: Play Ransomware Group." Symantec Threat Hunter Team, 2023.
Adlumin. "Play Ransomware: Grixba and VSS Copying Tool Analysis." 2023.
CrowdStrike. "Play Ransomware TTPs." CrowdStrike Intelligence, 2023.
BleepingComputer. "City of Oakland declares state of emergency after ransomware attack." February 2023.
Microsoft. "Exchange Server Security Updates (ProxyNotShell)." November 2022.
Fortinet. "FortiOS Security Advisories." 2020-2023.
Red Canary. "Play Ransomware Detection Opportunities." 2023.
MITRE ATT&CK. "Play Ransomware TTPs." https://attack.mitre.org/

Preguntas frecuentes

Libros recomendados

Practical Malware Analysis (Sikorski & Honig)

Amazon (enlace afiliado)

Intelligence-Driven Incident Response (Pease & Roberts)