O ransomware Play, também conhecido como Playcrypt, atingiu cerca de 900 organizações até maio de 2025, segundo o FBI. O grupo está entre os mais ativos do cenário cibercriminoso recente, explorando falhas em ferramentas críticas de TI e intensificando a ameaça global de ataques a empresas e infraestruturas essenciais.
FBI revela que ransomware Play já comprometeu 900 organizações em ataques globais
Ransomware Play: ameaça crescente à segurança cibernética
O ransomware Play tornou-se um dos maiores pesadelos de segurança cibernética dos últimos anos. De acordo com um comunicado conjunto do FBI, da CISA e do Centro Australiano de Segurança Cibernética, a gangue já comprometeu aproximadamente 900 organizações desde seu surgimento, sendo três vezes mais vítimas que o último balanço divulgado em outubro de 2023.
Essas invasões impactaram não apenas empresas privadas, mas também infraestruturas críticas nas Américas e na Europa. O FBI destaca que o grupo utiliza malware recompilado, o que dificulta a detecção por ferramentas antivírus tradicionais. Em muitos casos, as vítimas são ameaçadas por telefone, pressionadas a pagar o resgate sob risco de ter seus dados vazados na dark web.
Vetores de ataque e vulnerabilidades exploradas
Entre os vetores usados pelo grupo, destaca-se a exploração de vulnerabilidades zero-day em softwares de gerenciamento remoto. Três falhas críticas (CVE-2024-57726, CVE-2024-57727 e CVE-2024-57728) foram usadas em 2025 por corretores de acesso inicial ligados à gangue. As falhas atingem o SimpleHelp RMM, popular ferramenta usada em ambientes corporativos para monitoramento e suporte técnico.
A partir dessas brechas, os atacantes criaram contas administrativas falsas e instalaram beacons Sliver — um tipo de backdoor usado para persistência e movimentação lateral, frequentemente etapa inicial para futuras execuções de ransomware.
Estratégia e modelo de operação da gangue
Diferente de outras operações do tipo ransomware como serviço (RaaS), o Play ransomware adota uma abordagem direta com as vítimas. A comunicação para negociação do resgate é feita via e-mail, sem uso do Tor ou páginas dedicadas de negociação — uma tática que dificulta o rastreamento por analistas de segurança.
Além disso, o grupo utiliza uma ferramenta própria para copiar arquivos das sombras do sistema (VSS), conseguindo assim acessar backups locais mesmo que outros sistemas estejam tentando protegê-los. Isso aumenta a pressão sobre as vítimas e reduz suas opções de recuperação gratuita.
Alvos de alto perfil
Entre os casos mais notórios de vítimas do ransomware Play estão:
- Rackspace (serviços de nuvem)
- Cidade de Oakland (Califórnia, EUA)
- Condado de Dallas
- Arnold Clark (rede de varejo automotivo)
- Cidade de Antuérpia (Bélgica)
- Krispy Kreme
- Microchip Technology, fornecedora americana de semicondutores
A escolha desses alvos demonstra a capacidade da gangue em atingir tanto entidades públicas quanto gigantes corporativas — reforçando seu potencial destrutivo.
Recomendação dos órgãos de cibersegurança
Diante da crescente atividade do grupo, FBI, CISA e o centro australiano emitiram orientações claras às equipes de segurança:
- Atualização imediata de softwares, firmwares e sistemas operacionais
- Implementação de autenticação multifator (MFA), especialmente em VPNs, webmail e contas com acesso privilegiado
- Manutenção de backups offline
- Testes regulares de planos de recuperação de desastres
Essas medidas são consideradas essenciais para mitigar o risco de comprometimento por ransomwares modernos como o Play.
Perspectivas: ransomware como ameaça persistente
O caso do ransomware Play mostra como o modelo RaaS continua evoluindo. A sofisticação das técnicas, a rápida exploração de vulnerabilidades recém-descobertas e a pressão psicológica aplicada às vítimas indicam uma tendência de amadurecimento do cibercrime organizado.
Para empresas de todos os tamanhos, manter-se atualizado e adotar práticas de segurança resilientes é mais do que uma necessidade: é uma questão de sobrevivência digital.
