FBI发布安全提醒:Play勒索软件已感染全球300多个组织
2023-12-20 11:55:55 Author: mp.weixin.qq.com(查看原文) 阅读量:8 收藏

Play勒索软件组织,又被称为Playcrypt,从2022年6月以来一直持续攻击并影响了全球超过300家企业组织以及重要的网络基础设施。日前,美国联邦调查局(FBI)、网络安全与基础设施安全局(CISA)和澳大利亚网络安全中心(ASD's ACSC)联合发布了一份安全提醒公告,要求企业组织加强对Play勒索软件组织的防护,并给出了相关的防护建议。

据了解,Play 勒索软件攻击事件最早是在今年 4 月被发现,而最近一次被曝光则是在不久前的11月份,目前累计受害企业数量已经超过300家。尽管Play勒索软件组织的地下数据泄漏网站显示,为了“保证交易的保密性”,网站处于非开放状态。但调查人员发现,使用Play勒索软件的威胁行为者通常会采用双重勒索策略,并在未满足赎金要求时非法公开或出售受害企业的数据。

Play 勒索软件攻击者首先通过 Microsoft Exchange(ProxyNotShell [CVE-2022-4 1040 和 CVE-2022-41082])和 FortiOS(CVE-2018-13379 和 CVE-2020-12812)中的已知漏洞来获取受害者计算机访问权限,然后加密数据。在对受害企业的初始通知中并不包括赎金要求和付款说明,受害者被告知向攻击者发送电子邮件进行进一步的联系。

值得注意的是,大多数的Play勒索软件是利用组织面向外部的服务,如虚拟专用网络(VPN)和远程桌面协议(RDP)获得访问权限。Play勒索软件攻击者也会使用 AdFind 等工具来执行 Active Directory 查询,并使用信息窃取程序 Grixba 来枚举网络信息并扫描防病毒软件。此外,还利用 GMER、IOBit 和 PowerTool 等工具来删除日志文件并禁用防病毒软件。

缓解措施

为了减轻Play勒索软件爆发的可能性和影响,FBI在公告中建议企业组织实施以下缓解措施:

  • 尽快修复已知的可被利用漏洞;

  • 尽可能为所有服务启用多重身份验证 (MFA),特别是针对 Webmail、VPN 和访问关键系统的使用账户;

  • 及时修补和更新软件应用程序到最新版本,并定期进行漏洞评估。


文章来源: https://mp.weixin.qq.com/s?__biz=MjM5Njc3NjM4MA==&mid=2651126943&idx=2&sn=d8e8b27969bd0f369e0d90f74d0fb895&chksm=bd144c4c8a63c55a9fecd9858d164c2852c1032fd4677eee041e5c21c138741904023ae6b4db&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh