Il Federal Bureau of Investigation (FBI) ha rivelato che il gruppo di ransomware Play ha violato circa 300 organizzazioni in tutto il mondo tra giugno 2022 e ottobre 2023, alcune delle quali sono entità di infrastrutture critiche.
Avviso Congiunto di FBI, CISA e ASD’s ACSC
L’avvertimento arriva come un avviso congiunto emesso in collaborazione con la Cybersecurity and Infrastructure Security Agency (CISA) e il Centro di Sicurezza Cyber dell’Australian Signals Directorate (ASD’s ACSC). Le agenzie governative hanno messo in guardia che, dal giugno 2022, il gruppo di ransomware Play (noto anche come Playcrypt) ha impattato un’ampia gamma di aziende e infrastrutture critiche in Nord America, Sud America ed Europa.
Operazioni e Tattiche del Ransomware Play
Il ransomware Play è emerso per la prima volta nel giugno 2022. A differenza delle tipiche operazioni di ransomware, gli affiliati di Play optano per la comunicazione via email come canale di negoziazione e non forniscono alle vittime un link alla pagina di negoziazione Tor nelle note di riscatto lasciate sui sistemi compromessi.
Prima di distribuire il ransomware, rubano documenti sensibili dai sistemi compromessi, che poi utilizzano per esercitare pressione sulle vittime affinché paghino il riscatto, minacciando di divulgare i dati rubati online. Il gruppo utilizza anche uno strumento personalizzato di copia VSS per rubare file dalle copie shadow volume, anche quando questi file sono in uso da applicazioni.
Vittime di Alto Profilo e Raccomandazioni per la Difesa
Tra le vittime di alto profilo del ransomware Play ci sono la città di Oakland in California, il gigante della vendita di auto Arnold Clark, l’azienda di cloud computing Rackspace e la città belga di Anversa.
Nelle linee guida emesse oggi da FBI, CISA e ASD’s ACSC, si esorta le organizzazioni a dare priorità alla risoluzione delle vulnerabilità note che sono state sfruttate per ridurre la probabilità di essere utilizzate negli attacchi di ransomware Play. Si consiglia vivamente ai difensori di rete di implementare l’autenticazione multifattore (MFA) su tutti i servizi, concentrandosi su webmail, VPN e account con accesso a sistemi critici.
Inoltre, l’aggiornamento regolare e la patch dei software e delle applicazioni alle loro versioni più recenti e le valutazioni periodiche delle vulnerabilità dovrebbero far parte delle pratiche standard di sicurezza di tutte le organizzazioni.