Los ciberdelincuentes de Play comenzaron a llevar a cabo su amenaza: luego de reivindicar el ataque informático que tuvo como objetivo el consejo departamental de Alpes-Maritimes, en la noche del 9 al 10 de noviembre de 2022, el grupo de piratas informáticos comenzó a difundir en su sitio datos robados del organización.
Se ha publicado en su sitio un archivo de 13,7 gigabytes que contiene datos internos del consejo del condado. En estos archivos se encuentran elementos relacionados con la gestión de recursos humanos de varias entidades del consejo departamental así como documentos utilizados en el marco de proyectos de desarrollo regional en el departamento. El fichero también contiene, en menor medida, datos de carácter personal, en particular documentos de identidad y pasaportes.
En su sitio, el grupo que se atribuyó la responsabilidad del ataque dice que esta transmisión es solo la primera y que se producirá una nueva publicación si el consejo departamental de Alpes Marítimos se niega a ponerse en contacto. Este último por su parte declaró en un comunicado de prensa, publicado el 16 de noviembre, que «la rápida reacción de los agentes del departamento permitió limitar el alcance del ataque, tanto en términos de contaminación de los servidores como de violación de datos». En otras palabras, los servicios del departamento creen que lograron evitar el cifrado de una gran cantidad de servicios y dispositivos, a pesar de que los atacantes lograron robar datos durante el ataque.
El departamento no menciona una demanda de rescate en sus publicaciones sobre el ataque, pero el modus operandi de Play Group es similar al que usan los grupos de ransomware: el malware que se usó aquí está diseñado para cifrar los datos y el grupo ha creado un sitio en TOR (The Onion Router, una herramienta que permite anonimizar su navegación en Internet) permitiéndole distribuir los datos sustraídos.
Un grupo desconocido
Play es relativamente nuevo en los grupos de ciberdelincuentes que se especializan en el uso de ransomware y su funcionamiento no ha sido objeto de mucho análisis por parte de las empresas de ciberseguridad. Sus primeras víctimas identificadas datan de junio y el sitio utilizado por el grupo para distribuir los datos robados a sus víctimas recién se instaló en noviembre. Como señala la empresa de software de ciberseguridad Trend Micro, este grupo se ha centrado hasta ahora principalmente en objetivos basados en América Latina, pero ahora reclama dos organizaciones francesas entre sus víctimas: además del departamento de Alpes Marítimos, una empresa de servicios digitales habría sido afectado.
Varios consejos departamentales franceses han sufrido recientemente ataques informáticos con consecuencias similares, obligándolos a tomar medidas para garantizar el funcionamiento de sus servicios: Seine-et-Marne y Seine-Maritime en octubre, Indre-et-Loire en julio.