Το Ομοσπονδιακό Γραφείο Ερευνών (FBI) λέει ό
τι
η συμμορία
ransomware
Play έχει παραβιάσει περίπου 300 οργανισμούς παγκοσμίως από τον Ιούνιο του 2022 έως τον Οκτώβριο του 2023, ορισμένες από αυτές οντότητες υποδομής ζωτικής σημασίας.
Η προειδοποίηση έρχεται ως κοινή συμβουλευτική που εκδόθηκε σε συνεργασία με την
CISA
και το Αυστραλιανό Κέντρο Ασφάλειας στον Κυβερνοχώρο της Διεύθυνσης Αυστραλιανών Σημάτων (ASD’s ACSC).
«Από τον Ιούνιο του 2022, η ομάδα ransomware Play (επίσης γνωστή ως Playcrypt) έχει επηρεάσει ένα ευρύ φάσμα επιχειρήσεων και ζωτικής σημασίας υποδομές στη Βόρεια Αμερική, τη Νότια Αμερική και την Ευρώπη», οι τρεις κυβερνητικές υπηρεσίες
προειδοποίησε
σήμερα
.
«Από τον Οκτώβριο του 2023, το FBI γνώριζε περίπου 300 επηρεαζόμενες οντότητες που φέρεται να εκμεταλλεύονταν οι παράγοντες του ransomware».
Η λειτουργία ransomware Play εμφανίστηκε τον Ιούνιο του 2022, αφού τα πρώτα θύματα ζήτησαν βοήθεια στα φόρουμ του BleepingComputer.
Σε αντίθεση με τις τυπικές λειτουργίες ransomware, οι θυγατρικές του Play ransomware επιλέγουν την επικοινωνία μέσω email ως κανάλι διαπραγμάτευσης και δεν θα παρέχουν στα θύματα έναν σύνδεσμο σελίδας διαπραγματεύσεων Tor σε σημειώσεις λύτρων που αφήνονται σε παραβιασμένα συστήματα.
Ωστόσο, πριν από την ανάπτυξη ransomware, θα κλέψουν ευαίσθητα έγγραφα από παραβιασμένα συστήματα, τα οποία χρησιμοποιούν για να πιέσουν τα θύματα να πληρώσουν λύτρα υπό την απειλή της
διαρροή
ς των κλεμμένων δεδομένων στο διαδίκτυο.
Η συμμορία χρησιμοποιεί επίσης ένα προσαρμοσμένο εργαλείο αντιγραφής VSS που βοηθά στην κλοπή αρχείων από αντίγραφα σκιώδους όγκου ακόμα και όταν αυτά τα αρχεία χρησιμοποιούνται από εφαρμογές.
Πρόσφατα θύματα υψηλού προφίλ ransomware του Play περιλαμβάνουν το City of Oakland στην Καλιφόρνια, τον γίγαντα λιανοπωλητών αυτοκινήτων Arnold Clark, την εταιρεία υπολογιστών cloud Rackspace και τη βελγική πόλη της Αμβέρσας.
Στην καθοδήγηση που εκδόθηκε σήμερα από το FBI, την CISA και το ACSC της ASD, οι οργανισμοί καλούνται να δώσουν προτεραιότητα στην αντιμετώπιση γνωστών τρωτών σημείων που έχουν γίνει αντικείμενο εκμετάλλευσης για να μειωθεί η πιθανότητα χρήσης τους σε επιθέσεις ransomware Play.
Συνιστάται επίσης στους υπερασπιστές δικτύου να εφαρμόζουν έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA) σε όλες τις υπηρεσίες, εστιάζοντας στο webmail, το VPN και τους λογαριασμούς με πρόσβαση σε κρίσιμα συστήματα.
Επιπλέον, η τακτική ενημέρωση και επιδιόρθωση λογισμικού και εφαρμογών στις πιο πρόσφατες εκδόσεις τους και οι συνήθεις αξιολογήσεις ευπάθειας θα πρέπει να αποτελούν μέρος των τυπικών πρακτικών ασφαλείας όλων των οργανισμών.
Οι τρεις κυβερνητικές υπηρεσίες συμβουλεύουν επίσης τις ομάδες ασφαλείας να εφαρμόσουν τα κοινά μέτρα μετριασμού
η σημερινή κοινή διαβούλευση
.
“Το FBI, η CISA και το ACSC του ASD ενθαρρύνουν τους οργανισμούς να εφαρμόσουν τις συστάσεις στην ενότητα Μετριασμούς αυτής της CSA για να μειώσουν την πιθανότητα και τον αντίκτυπο των περιστατικών ransomware”, ανέφεραν οι υπηρεσίες.
“Αυτό περιλαμβάνει την απαίτηση ελέγχου ταυτότητας πολλαπλών παραγόντων, τη διατήρηση αντιγράφων ασφαλείας δεδομένων εκτός σύνδεσης, την εφαρμογή ενός σχεδίου ανάκτησης και τη διατήρηση όλων των λειτουργικών συστημάτων, του λογισμικού και του υλικολογισμικού ενημερωμένα.”
VIA:
bleepingcomputer.com
