Play 勒索軟體組織是什麼?
自 2022 年首次出現以來,Play 勒索軟體集團已造成數起重大違規行為,包括:
通常,Play 會在公司的系統上安裝勒索軟體,對其資料進行加密並要求支付贖金,或竊取業務資料並將其在暗網論壇上出售。 他們的一些攻擊產生了國際影響,同時影響了數以千計的客戶。
Play 勒索軟體組織有一個在線 Tor 博客,他們在其中發布每次攻擊的詳細信息,包括他們在每次攻擊期間設法捕獲的數據的摘要。
Play 勒索軟體組織使用的獨特方法
Play 利用 FortiOS 脆弱性 CVE-2020-12812 和 CVE-2018-13379 以及暴露的 RDP 伺服器來破壞組織。 一旦他們存取系統,他們就會使用群組原則物件在整個系統中分發勒索軟體有效負載。 透過按計劃運行這些任務,他們可以系統地開始對網路上的文件進行加密,並快速接管。
這個勒索軟體團伙的定義特徵之一是使用間歇性加密。 在傳統勒索軟體中,有效負載將對整個檔案進行加密,防止網路管理員存取它們。 然而,許多檔案的快速加密是許多安全系統都會識別和標記的威脅向量。
為了克服這種防禦,Play 使用間歇性加密,僅對每個檔案的選擇性部分進行加密。
這種方法使他們能夠在雷達下飛行並避開大多數端點資安解決方案,同時仍然對文件中的核心位元組進行加密,從而為威脅行為者提供初始訪問權限,同時阻止公司本身。
Play 也利用公司的聲譽來迫使他們遵守合規。 根據 CSA 的說法,Play 向任何支付勒索軟體費用的公司提供完全保密,那些不立即支付費用的公司將在網上發布其所有數據,並將漏洞利用的詳細信息發佈到他們的 Tor 博客上。
Play 勒索軟體組織的著名攻擊
Play 發起了國際勒索軟體活動,其中許多活動擾亂了高級機構,包括大型企業、政府,甚至主要城市議會。
以下是過去幾年最值得注意的攻擊:
- 達拉斯縣: Play 勒索軟體組織對達拉斯縣的私人記錄發起了攻擊。 超過 20 萬個人在違規中遭竊他們的記錄,包括 SSN,州身份識別號碼,納稅人信息,醫療信息,甚至健康保險詳細信息。
- 瑞士政府:Play 於 2023 年 5 月對瑞士政府發起了攻擊,從其私人服務器中突破了超過 1.3 萬個機密記錄。 其中,65,000 人直接與聯邦政府有關,對該國產生了重大的安全風險。
- 阿諾德·克拉克:阿諾德·克拉克是歐洲最大的獨立汽車零售商,也是 Play 的另一個知名目標。 Play 從客戶那裡竊取了身份信息,銀行詳細信息和完整的車輛登記記錄,該公司與 Play 進行談判。
- 科爾多瓦司法機構:2022 年底,科爾多瓦市的司法系統遭受了 Play 策劃的網絡攻擊。 典型的 .play 整個系統都進行了加密,勒索軟體組織留下了一個簡單的 ReadMe.txt,其中列出了「Play」和一個用於聯繫討論贖金的電子郵件地址。
與 Play 相關的絕大多數故事獲得了媒體重視,然後迅速消失在公眾眼中。 看來,如果沒有明確的防禦系統和恢復資料的選項,受損組織可能不得不與 Play 勒索軟體組織進行對話。
儘管 Play 在 2024 年比以前幾年的活躍性較少,但它仍然對不安全的組織構成一個主要威脅。
勒索軟體攻擊的預防和緩解
以下是一些保護自身免受勒索軟體攻擊的主要策略:
- 使用存取控制:透過對網路進行分段並建立權限系統,您可以限制任何受損帳戶對系統的總存取權限。 在未分段的網路中,一個被盜的帳戶可能表示您的遠端系統完全損壞。存取控制分段可以防止這種情況發生,並降低完全鎖定的可能性。
- 部署端點保護:偵測勒索軟體威脅並儘快消除它對於有效保護您的公司免受這種攻擊媒介至關重要。 端點保護解決方案將有助於快速定位並減輕勒索軟體攻擊。
- 更新您的系統:定期更新您的系統並修補到最新版本的軟體將有助於降低您的公司在其係統中出現已知脆弱性的可能性。 定期發佈軟體修補程式以消除脆弱性。
- 實施應急計劃:針對您的公司在勒索軟體場景中將採取的行動制定有效的應急計劃是製定全面威脅響應計劃的有效方法。 例如,您的企業可以確定應該開發哪些備份,並在發生攻擊發生的第一個提示下劃分系統的路徑。
使用 Check Point 進行勒索軟體防護
Play 和其他主要勒索軟體團體變得越來越普遍,現代企業攻擊面的巨大範圍使公司比以往任何時候都更容易受到攻擊。 面對越來越多的網絡威脅,企業需要轉向有效的網絡安全解決方案,以確保其業務盡可能安全。
Check Point反勒索軟體構成了完整端點資安解決方案的核心部分。 Check Point 為每個公司端點提供全面的保護,使您的企業能夠實現網路安全自動化並全面增強防禦。
透過此解決方案,您的企業將能夠降低勒索軟體攻擊成功的風險,同時保護自己免受眾多其他主要網路安全威脅的侵害。 立即聯絡 Check Point 預約示範。
反映意見