ransomware.jpg

Grupo Play violou 300 vítimas, inclusive na América do Sul

Da Redação
19/12/2023

Cerca de 300 empresas em todo o mundo foram alvos de violações entre junho de 2022 e outubro deste ano, sendo que algumas delas são organizações que operam infraestrutura crítica, de acordo com investigações do FBI. O alerta da polícia federal americana foi feito em conjunto com a Agência de Segurança de Infraestrutura e Cibersegurança (CISA) dos EUA e o  Australian Cyber Security Centre (ACSC) da Australian Signals Directorate.

“Desde junho de 2022, o grupo de ransomware Play, também conhecido como Playcrypt, impactou uma ampla gama de negócios e infraestruturas críticas na América do Norte, América do Sul e Europa”, alertaram as três agências governamentais em comunicado. “Em outubro deste ano, o FBI estava ciente de aproximadamente 300 entidades afetadas supostamente exploradas pelos atores do ransomware.”

Ao contrário das operações típicas de ransomware, os afiliados do ransomware Play optam pela comunicação por e-mail como seu canal de negociação e não fornecem às vítimas um link de página de negociações do Tor em notas de resgate deixadas em sistemas comprometidos. No entanto, antes de implantar o ransomware, eles roubam documentos confidenciais de sistemas comprometidos, que usam para pressionar as vítimas a pagar pedidos de resgate sob a ameaça de vazar os dados roubados online.

A gangue também está usando uma ferramenta de cópia VSS (cópia de sombra de volume) personalizada que ajuda a roubar arquivos de  cópias de sombra de volume mesmo quando esses arquivos estão em uso por aplicativos.

Entre as vítimas de alto perfil recentes do ransomware Play incluem a cidade de Oakland, na Califórnia, o gigante varejista de carros Arnold Clark, a empresa de computação em nuvem Rackspace e a cidade belga de Antuérpia.

Veja isso
Ataque do grupo Play paralisa ministério do Uruguai
A10 Networks tem dados violados em ataque do ransomware Play

Na orientação emitida pelo FBI, CISA e ACSC, as organizações são orientadas a priorizar o tratamento de vulnerabilidades conhecidas que foram exploradas para reduzir sua probabilidade de serem usadas em ataques de ransomware Play. Os administradores de segurança de rede também são aconselhados a implementar a autenticação multifator (MFA) em todos os serviços, com foco em webmail, VPN e contas com acesso a sistemas críticos.

Além disso, a atualização e aplicação de patches regulares de software e aplicativos para suas versões mais recentes e avaliações de vulnerabilidade de rotina devem fazer parte das práticas de segurança padrão de todas as organizações.

As três agências governamentais também aconselham as equipes de segurança a implementar as medidas de mitigação compartilhadas por elas nesta página.

Compartilhar: