Αναλυτές από την AhnLab δημοσίευσαν λεπτομερή μελέτη για την απειλή «Play Ransomware», η οποία εντοπίστηκε για πρώτη φορά το 2022 και έχει συνδεθεί με περισσότερες από 300 επιτυχημένες επιθέσεις παγκοσμίως από τότε.
Η Play Ransomware πήρε το όνομά της από την επέκταση «.PLAY» που προστίθεται στα κρυπτογραφημένα αρχεία. Η Play έχει συνδεθεί με την ομάδα Andariel, μια ομάδα κυβερνοεπιθέσεων που φέρεται να χρηματοδοτείται από το κράτος της Βόρειας Κορέας και να αποτελεί μέρος του «Γενικού Γραφείου Αναγνώρισης» της χώρας.
Οι επιθέσεις ξεκινούν μέσω κατάχρησης έγκυρων λογαριασμών ή εκμετάλλευσης ευπαθειών σε εκτεθειμένες υπηρεσίες. Ειδικά οι ευπάθειες στους Microsoft ProxyNotShell Exchange Servers (CVE-2022-41040, CVE-2022-41082) και στο Fortinet FortiOS (CVE-2020-12812, CVE-2018-13379) έχουν αξιοποιηθεί από τους δράστες.
Play ransomware: Πώς λειτουργούν οι επιθέσεις
Οι επιτιθέμενοι χρησιμοποιούν σαρωτές θυρών για να συλλέξουν πληροφορίες σχετικά με ενεργά συστήματα και υπηρεσίες. Με τη συλλογή δεδομένων Active Directory, οι δράστες εντοπίζουν «μονοπάτια επίθεσης» για την κλιμάκωση προνομίων.
Με την απόκτηση πρόσβασης διαχειριστή, κλέβουν διαπιστευτήρια για να επεκταθούν σε ολόκληρο το δίκτυο και να αποκτήσουν έλεγχο του domain.
Η Play ransomware, όπως επιβεβαιώνει η AhnLab, χρησιμοποιεί νόμιμα εργαλεία, όπως το Process Hacker, για να απενεργοποιήσει προϊόντα ασφαλείας, καθιστώντας την ανίχνευση πιο δύσκολη.
Μέτρα μετριασμού των επιθέσεων ransomware
Το FBI συνιστά τα εξής μέτρα:
- Εγκατάσταση ενημερώσεων για λειτουργικά συστήματα, λογισμικό και firmware που κυκλοφορούν.
- Χρήση ανθεκτικού στο phishing, μη SMS-based πολυπαραγοντικού ελέγχου ταυτότητας.
- Εκπαίδευση των χρηστών για να αναγνωρίζουν και να αναφέρουν προσπάθειες phishing.
Οι επιθέσεις Play ransomware, εκτός από την κρυπτογράφηση των συστημάτων, περιλαμβάνουν και εξαγωγή δεδομένων που χρησιμοποιούνται για εκβιασμό μέσω ιστοσελίδων διαρροής.
Ακόμη και μετά την υποτιθέμενη διάλυση ομάδων όπως η LockBit, η Play ransomware συνεχίζει να αποτελεί σημαντικό κίνδυνο, υπογραμμίζοντας την ανάγκη για εγρήγορση και εφαρμογή ισχυρών μέτρων κυβερνοασφάλειας.
«Μια επίθεση ransomware στο Play θα κρυπτογραφήσει τα συστήματα ενός οργανισμού, αλλά επίσης, όπως συνηθίζεται αυτές τις μέρες, θα εξάγει πληροφορίες πρώτα για να αξιοποιήσει τις απαιτήσεις εκβιασμού μέσω ιστότοπων διαρροής», όπως τονίζει ο Davey Winder, στη Forbes.
VIA: Πηγή Άρθρου
Greek Live Channels Όλα τα Ελληνικά κανάλια: Βρίσκεστε μακριά από το σπίτι ή δεν έχετε πρόσβαση σε τηλεόραση; Το IPTV σας επιτρέπει να παρακολουθείτε όλα τα Ελληνικά κανάλια και άλλο περιεχόμενο από οποιαδήποτε συσκευή συνδεδεμένη στο διαδίκτυο. Αν θες πρόσβαση σε όλα τα Ελληνικά κανάλια Πατήστε Εδώ
Ακολουθήστε το TechFreak.GR στο Google News για να μάθετε πρώτοι όλες τις ειδήσεις τεχνολογίας.
