Федералното бюро за разследване (ФБР) твърди, че бандата Play ransomware е нарушила сигурността на около 300 организации по целия свят между юни 2022 г. и октомври 2023 г., някои от които са били обекти от критичната инфраструктура.

Предупреждението идва като съвместна консултация, издадена в партньорство с CISA и Австралийския център за киберсигурност на Австралийската дирекция за сигнали (ACSC на ASD).

„От юни 2022 г. насам групата за рансъмуер Play (известна също като Playcrypt) е засегнала широк кръг предприятия и критична инфраструктура в Северна Америка, Южна Америка и Европа“, предупредиха днес трите правителствени агенции.

„Към октомври 2023 г. ФБР знаеше за приблизително 300 засегнати субекта, за които се твърди, че са експлоатирани от участниците в ransomware.“

За разлика от типичните операции с рансъмуер, участниците в Play ransomware избират имейл комуникацията като канал за преговори и няма да предоставят на жертвите линк към страницата за преговори Tor в бележките за откуп, оставени на компрометираните системи.

Въпреки това, преди да разположат ransomware, те крадат чувствителни документи от компрометираните системи, които използват, за да окажат натиск върху жертвите да платят искания откуп под заплахата от изтичане на откраднатите данни онлайн.

Бандата използва и персонализиран инструмент за копиране на VSS, който помага за кражба на файлове от копия на сенчести томове, дори когато тези файлове се използват от приложения.

Сред последните високопоставени жертви на рансъмуера Play са град Оукланд в Калифорния, гигантът в търговията на дребно с автомобили Арнолд Кларк, компанията за изчисления в облак Rackspace и белгийският град Антверпен.

В публикуваните днес насоки от ФБР, CISA и ACSC на ASD организациите се призовават да се насочат приоритетно към отстраняване на известни уязвимости, които са били използвани, за да се намали вероятността те да бъдат използвани при атаки с рансъмуер Play.

На мрежовите защитници също така се препоръчва да въведат многофакторно удостоверяване (MFA) във всички услуги, като се съсредоточат върху уебпощата, VPN и акаунтите с достъп до критични системи.

Освен това редовното актуализиране и коригиране на софтуера и приложенията до най-новите им версии и рутинните оценки на уязвимостите трябва да бъдат част от стандартните практики за сигурност на всички организации.

Трите правителствени агенции също така съветват екипите по сигурността да приложат мерките за намаляване на риска, споделени в днешната съвместна консултация.

„ФБР, CISA и ACSC на ASD насърчават организациите да изпълняват препоръките в раздела за смекчаващи мерки на този CSA, за да намалят вероятността и въздействието на инциденти с ransomware“, заявиха агенциите.

„Това включва изискване за многофакторна автентикация, поддържане на офлайн резервни копия на данните, прилагане на план за възстановяване и поддържане на всички операционни системи, софтуер и фърмуер в актуално състояние.“