Play 랜섬웨어 그룹은 2022년에 처음 등장한 이후 다음과 같은 여러 주요 침해 사고를 일으켰습니다:
일반적으로 Play는 기업의 시스템에 랜섬웨어를 설치하여 데이터를 암호화하고 몸값을 요구하거나 비즈니스 데이터를 유출하여 다크웹 포럼에서 판매합니다. 일부 공격은 전 세계에 영향을 미쳐 수십만 명의 고객에게 한꺼번에 영향을 미쳤습니다.
Play 랜섬웨어 그룹은 온라인 토르 블로그에 각 공격에 대한 세부 정보를 게시하며, 각 공격 중에 수집한 데이터의 요약을 포함합니다.
Play는 노출된 RDP 서버와 함께 FortiOS 취약성 CVE-2020-12812 및 CVE-2018-13379를 활용하여 조직을 침해합니다. 시스템에 액세스하면 그룹 정책 개체를 사용하여 랜섬웨어 페이로드를 시스템 전체에 배포합니다. 이러한 작업을 예약된 작업으로 실행하면 네트워크 전반의 파일 암호화를 체계적으로 시작하여 신속하게 인수할 수 있습니다.
이 랜섬웨어 그룹의 특징 중 하나는 간헐적인 암호화를 사용한다는 것입니다. 기존 랜섬웨어의 경우 페이로드가 파일 전체를 암호화하여 네트워크 관리자가 파일에 액세스할 수 없도록 합니다. 그러나 많은 파일을 빠르게 암호화하는 것은 많은 보안 시스템이 인식하고 플래그를 지정하는 위협 벡터입니다.
이러한 방어를 극복하기 위해 Play는 간헐적 암호화를 사용하여 각 파일의 선택적인 부분만 암호화합니다.
이 접근 방식을 사용하면 위협 행위자에게 초기 액세스 권한을 부여하는 파일의 핵심 바이트를 암호화하면서 회사 자체를 차단하는 동시에 대부분의 엔드포인트 보안 솔루션을 피하고 레이더망을 피할 수 있습니다.
또한 Play는 기업의 평판을 활용하여 컴플라이언스를 준수하도록 압력을 가하기도 합니다. CSA에 따르면 Play는 랜섬웨어 비용을 지불하는 모든 기업에 완전한 비밀을 보장하며, 즉시 지불하지 않는 기업은 모든 데이터가 온라인에 공개되고 익스플로잇에 대한 세부 정보가 Tor 블로그에 게시됩니다.
Play는 대기업, 정부, 주요 시의회 등 고위급 기관에 피해를 입힌 국제적인 랜섬웨어 캠페인을 시작했으며, 그 중 다수는 대기업, 정부, 심지어 주요 시의회까지 공격했습니다.
지난 몇 년 동안 가장 주목할 만한 공격은 다음과 같습니다:
플레이와 관련된 대부분의 스토리는 언론의 큰 관심을 받았다가 금세 대중의 관심에서 사라집니다. 명확한 방어 시스템과 데이터 복구 옵션이 없다면, 피해를 입은 조직은 Play 랜섬웨어 그룹과 대화를 시작해야 할 수도 있습니다.
2024년 플레이는 예년에 비해 활동이 줄어들었지만, 여전히 보안이 취약한 조직에 큰 위협이 되고 있습니다.
랜섬웨어 공격으로부터 자신을 보호하기 위한 몇 가지 주요 전략은 다음과 같습니다:
Play 및 기타 주요 랜섬웨어 그룹이 훨씬 더 보편화되고 있으며, 최신 기업 공격 표면의 범위가 넓어지면서 기업은 그 어느 때보다 취약해지고 있습니다. 증가하는 사이버 위협에 직면한 기업은 효과적인 사이버 보안 솔루션으로 전환하여 비즈니스를 최대한 안전하게 보호해야 합니다.
체크 포인트 안티랜섬웨어 소프트웨어는 전체 엔드포인트 보안 솔루션의 핵심 부분을 구성합니다. 모든 회사 엔드포인트에서 포괄적인 수준의 보호 기능을 제공하는 Check Point를 통해 비즈니스는 사이버 보안을 자동화하고 전반적으로 방어를 강화할 수 있습니다.
이 솔루션을 사용하면 랜섬웨어 공격의 위험을 줄이는 동시에 다른 수많은 주요 사이버 보안 위협으로부터 비즈니스를 보호할 수 있습니다. 지금 바로 체크포인트에 연락하여 데모를 예약하세요.
피드백