Play勒索软件组织,又被称为Playcrypt,从2022年6月以来一直持续攻击并影响了全球超过300家企业组织以及重要的网络基础设施。日前,美国联邦调查局(FBI)、网络安全与基础设施安全局(CISA)和澳大利亚网络安全中心(ASD's ACSC)联合发布了一份安全提醒公告,要求企业组织加强对Play勒索软件组织的防护,并给出了相关的防护建议。
据了解,Play 勒索软件攻击事件最早是在今年 4 月被发现,而最近一次被曝光则是在不久前的11月份,目前累计受害企业数量已经超过300家。尽管Play勒索软件组织的地下数据泄漏网站显示,为了“保证交易的保密性”,网站处于非开放状态。但调查人员发现,使用Play勒索软件的威胁行为者通常会采用双重勒索策略,并在未满足赎金要求时非法公开或出售受害企业的数据。
Play 勒索软件攻击者首先通过 Microsoft Exchange(ProxyNotShell [CVE-2022-4 1040 和 CVE-2022-41082])和 FortiOS(CVE-2018-13379 和 CVE-2020-12812)中的已知漏洞来获取受害者计算机访问权限,然后加密数据。在对受害企业的初始通知中并不包括赎金要求和付款说明,受害者被告知向攻击者发送电子邮件进行进一步的联系。
值得注意的是,大多数的Play勒索软件是利用组织面向外部的服务,如虚拟专用网络(VPN)和远程桌面协议(RDP)获得访问权限。Play勒索软件攻击者也会使用 AdFind 等工具来执行 Active Directory 查询,并使用信息窃取程序 Grixba 来枚举网络信息并扫描防病毒软件。此外,还利用 GMER、IOBit 和 PowerTool 等工具来删除日志文件并禁用防病毒软件。
缓解措施
为了减轻Play勒索软件爆发的可能性和影响,FBI在公告中建议企业组织实施以下缓解措施:
尽快修复已知的可被利用漏洞;
尽可能为所有服务启用多重身份验证 (MFA),特别是针对 Webmail、VPN 和访问关键系统的使用账户;
及时修补和更新软件应用程序到最新版本,并定期进行漏洞评估。