Play Ransomware Group – Detection and Protection

Play logiciel rançonneur, également connu sous le nom de Play ou Playcrypt, est un groupe de cybercriminels qui a réussi à infiltrer plus de 300 organisations dans le monde. Leurs attaques par logiciel rançonneur utilisent des tactiques uniques telles que le chiffrement intermittent et la double extorsion pour exfiltrer les données des entreprises et les menacer.

Anti logiciel rançonneur En savoir plus

Qu'est-ce que le groupe Play logiciel rançonneur ?

Depuis sa première apparition en 2022, Play logiciel rançonneur Group a été responsable de plusieurs brèches importantes, notamment chez :

  • Microsoft Cuba
  • La ville d'Oakland
  • Le gouvernement suisse
  • Comté de Dallas

En règle générale, Play installe un logiciel rançonneur sur les systèmes d'une entreprise, crypte ses données et demande une rançon, ou exfiltre des données commerciales et les vend sur les forums du dark web. Certaines de leurs attaques ont eu des répercussions internationales, touchant des centaines de milliers de clients à la fois.

Le groupe Play logiciel rançonneur dispose d'un blog Tor en ligne où il publie des détails sur chacune de ses attaques, y compris des résumés des données qu'il a réussi à capturer au cours de chaque attaque.

Méthodes uniques utilisées par le groupe Play logiciel rançonneur

Play utilise les vulnérabilités FortiOS CVE-2020-12812 et CVE-2018-13379, ainsi que des serveurs RDP exposés, pour pénétrer dans les entreprises. Une fois qu'ils ont accédé à un système, ils distribuent les charges utiles du logiciel rançonneur sur l'ensemble du système à l'aide d'objets de stratégie de groupe. En exécutant ces tâches comme des tâches planifiées, ils peuvent systématiquement commencer le chiffrement des fichiers sur un réseau et prendre rapidement le contrôle.

L'une des caractéristiques de ce logiciel rançonneur gang est l'utilisation du chiffrement intermittent. Dans le cas d'un logiciel rançonneur traditionnel, les charges utiles crypteront l'intégralité des fichiers, empêchant ainsi les administrateurs du réseau d'y accéder. Cependant, le chiffrement rapide de nombreux fichiers est un vecteur de menace que de nombreux systèmes de sécurité reconnaissent et signalent.

Pour contourner cette défense, l'utilisation par Play du chiffrement intermittent ne crypte que des parties sélectives de chaque fichier.

Cette approche leur permet de passer inaperçus et d'éviter la majorité des solutions de sécurité des postes, tout en chiffrant des octets essentiels dans des fichiers qui donnent à l'acteur de la menace un accès initial tout en bloquant l'accès à l'entreprise elle-même.

Le jeu tire également parti de la réputation d'une entreprise pour la contraindre à se conformer. Selon la CSA, Play offre un secret total à toute entreprise qui paie ses frais de logiciel rançonneur, et celles qui ne paient pas voient instantanément toutes leurs données publiées en ligne et les détails de l'exploit publiés sur leur blog Tor.

Attaques notables du groupe Play logiciel rançonneur

Play a lancé des campagnes internationales de logiciel rançonneur, dont beaucoup ont perturbé des institutions de haut niveau, y compris de grandes entreprises, des gouvernements et même des conseils municipaux importants.

Voici quelques-unes des attaques les plus marquantes de ces dernières années :

  • Comté de Dallas : Le groupe Play logiciel rançonneur a lancé une attaque contre les dossiers privés du comté de Dallas. Plus de 200 000 personnes ont vu leurs données dérobées dans le cadre de cette violation, notamment des numéros de sécurité sociale, des numéros d'identification d'État, des informations sur les contribuables, des informations médicales et même des données relatives à l'assurance maladie.
  • Gouvernement suisse : Play a lancé une attaque contre le gouvernement suisse en mai 2023, s'emparant de plus de 1,3 million d'enregistrements confidentiels provenant de leurs serveurs privés. Parmi ceux-ci, 65 000 étaient directement liés à l'administration fédérale, créant ainsi un risque majeur pour la sécurité du pays.
  • Arnold Clark : Arnold Clark est le plus grand détaillant automobile indépendant d'Europe et l'une des cibles les plus en vue de Play. Play a volé des informations d'identification, des données bancaires et des dossiers complets d'immatriculation de véhicules à des clients, et l'entreprise a entamé des négociations avec Play.
  • Justice de Cordoue : Fin 2022, les systèmes judiciaires de la ville de Cordoue subissent une cyberattaque orchestrée par Play. Le fichier .play typique Le groupe du logiciel rançonneur a laissé un simple fichier ReadMe.txt mentionnant "Play" et une adresse électronique à contacter pour discuter de la rançon.

La grande majorité des histoires liées au jeu attirent l'attention des médias, puis disparaissent rapidement de l'attention du public. Il semble qu'en l'absence de systèmes de défense clairs et d'options pour récupérer leurs données, les organisations corrompues devront peut-être entamer une conversation avec le groupe Play logiciel rançonneur.

Si Play a été moins actif en 2024 que les années précédentes, il représente toujours une menace majeure pour les organisations non sécurisées.

Prévention et atténuation des attaques du logiciel rançonneur

Voici quelques-unes des principales stratégies pour se protéger des attaques du logiciel rançonneur :

  • Utilisez des contrôles d'accès : En segmentant votre réseau et en créant un système de permissions, vous limitez l'accès total que tout compte compromis peut avoir à votre système. Dans un réseau non segmenté, la compromission d'un seul compte peut entraîner la corruption complète de votre système distant. La segmentation du contrôle d'accès permet d'éviter cela et réduit la probabilité d'un blocage complet.
  • Déployez le poste Protection : Détecter une menace de logiciel rançonneur et la neutraliser le plus rapidement possible est essentiel pour défendre efficacement votre entreprise contre ce vecteur d'attaque. Les solutions de protection des postes permettent de localiser rapidement une attaque de logiciel rançonneur et d'en atténuer les effets.
  • Mettez vos systèmes à jour : La mise à jour régulière de vos systèmes et l'application de correctifs à la dernière version du logiciel contribueront à réduire la probabilité que votre entreprise dispose d'une vulnérabilité connue dans son système. Des correctifs sont régulièrement publiés pour les logiciels afin de supprimer la vulnérabilité.
  • Mettez en œuvre des plans d'urgence : L'élaboration de plans d'urgence efficaces sur ce que votre entreprise fera dans un scénario de logiciel rançonneur est un moyen utile de développer un plan complet de réponse aux menaces. Par exemple, votre entreprise pourrait déterminer les sauvegardes qu'elle doit mettre en place et définir une procédure pour segmenter vos systèmes dès les premiers signes d'une attaque.

logiciel rançonneur Protection avec Check Point

Play et d'autres grands groupes de logiciels rançonneur sont de plus en plus fréquents, l'étendue des surfaces d'attaque des entreprises modernes les rendant plus vulnérables que jamais. Face à la montée des cybermenaces, les entreprises doivent se tourner vers des solutions de cybersécurité efficaces afin de sécuriser au mieux leurs activités.

Check PointLe logiciel anti-logiciel rançonneur constitue un segment essentiel de la solution complète de Sécurité des postes. Avec un niveau de protection complet sur tous les postes de l'entreprise, Check Point permet à votre entreprise d'automatiser la cybersécurité et d'améliorer les défenses à tous les niveaux.

Grâce à cette solution, votre entreprise sera en mesure de réduire le risque d'une attaque réussie du logiciel rançonneur tout en se protégeant contre de nombreuses autres menaces importantes en matière de cybersécurité. Contactez Check Point pour réserver un démo dès aujourd'hui.

Commencez

Harmony Endpoint

Le Guide du RSSI sur la prévention des logiciels rançonneurs

Rapport Cybersécurité 2024 de Check Point

Protection contre les logiciels rançonneurs

Sujets connexes

8Base Ransomware Group

logiciel rançonneur Recovery

Locker logiciel rançonneur

Triple Extortion logiciel rançonneur

Akira Ransomware

×
  Commentaires
Ce site web utilise des cookies pour sa fonctionnalité et à des fins d'analyse et de marketing. En continuant à utiliser ce site web, vous acceptez l'utilisation de cookies. Pour plus d'informations, veuillez lire notre avis sur les cookies.
OK