Σύμφωνα με το FBI, την CISA και το Australian Signals Directorate’s Australian Cyber Security Centre (ASD’s ACSC), η συμμορία ransomware Play έχει παραβιάσει περίπου 300 οργανισμούς παγκοσμίως από τον Ιούνιο του 2022 έως τον Οκτώβριο του 2023. Αν και αυτός ο αριθμός είναι μεγάλος, το πιο ανησυχητικό είναι ότι ορισμένα από τα θύματα είναι οργανισμοί που σχετίζονται με κρίσιμες υποδομές.
“Από τον Ιούνιο του 2022, η ομάδα ransomware Play (επίσης γνωστή ως Playcrypt) έχει επηρεάσει ένα ευρύ φάσμα επιχειρήσεων και υποδομών ζωτικής σημασίας στη Βόρεια Αμερική, τη Νότια Αμερική και την Ευρώπη“, προειδοποίησαν οι τρεις κυβερνητικές υπηρεσίες.
Το Play ransomware εμφανίστηκε για πρώτη φορά τον Ιούνιο του 2022, με κάποια θύματα να ζητούν βοήθεια στα φόρουμ του BleepingComputer.
Δείτε επίσης: Play ransomware: Χρησιμοποιεί νέα custom εργαλεία κλοπής data
, η συμμορία ransomware Play){kind=link}
Σε αντίθεση με τις τυπικές λειτουργίες ransomware, οι affiliates του Play ransomware ζητούν από τα θύματα να επικοινωνήσουν μέσω email για να διαπραγματευτούν για τα λύτρα. Ωστόσο, πριν από την ανάπτυξη ransomware, οι hackers κλέβουν ευαίσθητα έγγραφα από τα παραβιασμένα συστήματα, τα οποία χρησιμοποιούν για να πιέσουν τα θύματα να πληρώσουν λύτρα υπό την απειλή της διαρροής τους. Αυτή είναι μια τακτική που χρησιμοποιούν οι περισσότερες ransomware συμμορίες τα τελευταία χρόνια.
Η συμμορία χρησιμοποιεί επίσης ένα custom VSS Copying Tool που βοηθά στην κλοπή αρχείων από shadow volume copies ακόμα και όταν αυτά τα αρχεία χρησιμοποιούνται από εφαρμογές.
Μερικά από τα πιο πρόσφατα και μεγάλα θύματα του Play ransomware, είναι: το City of Oakland στην Καλιφόρνια, η Arnold Clark, η Rackspace και τη βελγική πόλη της Αμβέρσας.
Το FBI, η CISA και το ASD’s ACSC καλούν τους οργανισμούς να δώσουν προτεραιότητα στην αντιμετώπιση γνωστών ευπαθειών για να μειωθεί η πιθανότητα χρήσης τους σε επιθέσεις από το ransomware Play.
Επιπλέον, οι υπερασπιστές δικτύου πρέπει να εφαρμόζουν έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA) σε όλες τις υπηρεσίες, εστιάζοντας στο webmail, το VPN και τους λογαριασμούς με πρόσβαση σε κρίσιμα συστήματα.
Δείτε επίσης: Η ομάδα Play ransomware δημοσίευσε τα data της Royal Dirkzwager
Η τακτική ενημέρωση λογισμικού και εφαρμογών και οι συνήθεις αξιολογήσεις ευπαθειών θα πρέπει να αποτελούν μέρος των τυπικών πρακτικών ασφαλείας όλων των οργανισμών.
Οι τρεις κυβερνητικές υπηρεσίες συνιστούν ακόμα τα παρακάτω:
- Απαίτηση για έλεγχο ταυτότητας πολλαπλών παραγόντων, όπου είναι δυνατό
- Διατήρηση αντιγράφων ασφαλείας σημαντικών δεδομένων εκτός σύνδεσης
- Εφαρμογή ενός σχεδίου ανάκτησης
- Ενημέρωση όλων των λειτουργικών συστημάτων, του λογισμικού και του firmware
Επιπτώσεις μια επίθεσης από ransomware
Μια επίθεση από ransomware έχει πολλές συνέπειες για τα θύματα. Μια από τις κυριότερες είναι η απώλεια προσωπικών δεδομένων. Οι χρήστες που έχουν μολυνθεί από το ransomware συνήθως χάνουν προσωπικές πληροφορίες, όπως αρχεία, φωτογραφίες και άλλα σημαντικά δεδομένα. Και όπως είπαμε και πιο πάνω, οι hackers όχι μόνο τα κλέβουν, αλλά απειλούν να τα διαρρεύσουν αν δεν λάβουν λύτρα.
Δείτε επίσης: Play ransomware: Διαρρέει data που έχουν κλαπεί από την πόλη του Όκλαντ
Ένας άλλος αντίκτυπος είναι η πιθανή διακοπή της λειτουργίας των συστημάτων. Οι χρήστες που έχουν μολυνθεί αναγκάζονται να αντιμετωπίσουν την αδυναμία πρόσβασης σε αρχεία και εφαρμογές που είναι απαραίτητα για την εργασία τους. Αυτό μπορεί να οδηγήσει σε σημαντική διακοπή της παραγωγικότητας και να προκαλέσει οικονομικές απώλειες για τις επιχειρήσεις και τους οργανισμούς που επηρεάζονται.
Τέλος, το ransomware προκαλεί σημαντικές οικονομικές απώλειες, αφού τα θύματα αναγκάζονται κάποιες να φορές να πληρώσουν τα λύτρα, ενώ χρειάζεται να επενδύσουν και σε νέα συστήματα ασφαλείας και να επαναφέρουν τα παραβιασμένα συστήματα.
Πηγή: www.bleepingcomputer.com