Playcrypt adıyla da anılan Play fidye yazılımı grubu, Haziran 2022’den bu yana çeşitli Kuzey Amerika, Güney Amerika ve Avrupa şirketlerinin yanı sıra hayati altyapıyı da etkiliyor.
FBI, Ekim 2023 itibarıyla fidye yazılımı saldırganlarının yararlandığı iddia edilen yaklaşık 300 şirketin etkilendiğini öğrendi.
Federal Soruşturma Bürosu (FBI), Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ve Avustralya Sinyal Müdürlüğü’nün Avustralya Siber Güvenlik Merkezi (ASD’nin ACSC), Ekim 2023 gibi yakın bir tarihte Play fidye yazılımı tarafından keşfedilen IOC’leri ve TTP’leri yaymak için ortak bir tavsiye yayınladı. grup.
Play Fidye Yazılımı Grubunun Özellikleri
Play fidye yazılımı olayı ilk olarak Nisan 2023’te Avustralya’da görüldü ve en son Kasım 2023’te tespit edildi.
Play fidye yazılımı grubunun veri sızıntısı web sitesinde yer alan bir açıklamada, grubun kapatıldığının ve “anlaşmaların gizliliğini garanti altına almak” amacıyla oluşturulduğunun düşünüldüğü belirtiliyor.
Fidye yazılımı kullanan tehdit aktörleri, önce bilgisayarlara erişim sağlayarak, ardından verileri şifreleyerek ikili bir gasp stratejisi kullanıyor.
İlk fidye talebi ve ödeme talimatları fidye notlarına dahil değildir; bunun yerine kurbanlara tehdit aktörlerine e-posta göndermeleri söyleniyor.
Play fidye yazılımı grubu, meşru hesapları kötüye kullanarak ve halka açık uygulamalardan yararlanarak öncelikle kurban ağlarına erişim sağlıyor. Özellikle bu, Microsoft Exchange’deki (ProxyNotShell) bilinen güvenlik açıkları aracılığıyla gerçekleştirilir. [CVE-2022-41040 and CVE-2022-41082]) ve FortiOS (CVE-2018-13379 ve CVE-2020-12812).
Çoğu fidye yazılımı aktörünün başlangıçta Sanal Özel Ağlar (VPN) ve Uzak Masaüstü Protokolü (RDP) gibi dışarıya yönelik hizmetler aracılığıyla erişim sağladığı kaydedildi.
Fidye yazılımı oynayan aktörler, Active Directory sorgularını yürütmek için AdFind ve ağ bilgilerini numaralandırmak ve anti-virüs yazılımı taraması yapmak için bir bilgi hırsızı olan Grixba gibi araçları kullanır.
Ayrıca aktörler, günlük dosyalarını kaldırmak ve antivirüs yazılımını devre dışı bırakmak için GMER, IOBit ve PowerTool gibi araçları kullanıyor.
Azaltma
- Bilinen istismar edilen güvenlik açıklarının düzeltilmesine öncelik verin.
- Başta web postası, VPN ve kritik sistemlere erişen hesaplar olmak üzere tüm hizmetler için çok faktörlü kimlik doğrulamayı (MFA) mümkün olduğu ölçüde etkinleştirin.
- Yazılımları ve uygulamaları düzenli olarak en son sürümlerine yamalayın ve güncelleyin ve düzenli olarak güvenlik açığı değerlendirmeleri yapın.
Fidye yazılımı salgınlarının olasılığını ve etkisini azaltmak için şirketler FBI, CISA ve ASD’nin ACSC’si tarafından Azaltıcı Önlemler’de sunulan tavsiyeleri uygulamaya teşvik edilmektedir.