En son PLAY siber saldırısında altı kuruluş mağdur edildi. Etkilenen kuruluşlar ABD, Birleşik Krallık ve Norveç dahil olmak üzere farklı bölgelere yayılıyor.
Hedeflenen kuruluşlar arasında Roof Management, Security Instrument Corp, Filtration Control Ltd, Cinépolis Cinemas, CHARMANT Group ve Stavanger Belediyesi yer alıyor.
İddialar, bu kuruluşları hedef aldığı iddia edilen PLAY fidye yazılımı grubunun veri sızıntısı kanalı aracılığıyla paylaşıldı.
Bu PLAY siber saldırılarının ardındaki gerçek niyet veya motivasyon, ortak bir tehdit aktörü değildi ve bu da kampanyaları hakkında daha fazla şüpheye yol açtı.
PLAY siber saldırısı: Sızıntı sitesine 6 yeni kurban eklendi
Bu PLAY siber saldırısını öğrendikten sonra The Cyber Express, PLAY fidye yazılımı grubu ve saldırıya ilişkin iddiaları hakkında daha fazla bilgi toplamak için derhal etkilenen kuruluşlarla iletişime geçti.
Ancak bu yazının yazıldığı sırada hiçbir resmi açıklama veya yanıt alınmadığından iddialar doğrulanamadı.
Söz konusu tehdit aktörü PLAY fidye yazılımı grubu, uzun süredir küçük ve orta ölçekli işletmeleri hedef alan kötü şöhretli bir tehdit aktörüdür.
PLAY Ransomware grubu, bir kuruluşun ağına sızmak için CVE-2018-13379 ve CVE-2020-12812 gibi bilinen güvenlik açıklarından yararlanma da dahil olmak üzere çeşitli teknikler kullanıyor.
Ayrıca ilk erişim elde etmek için açıktaki RDP sunucularından ve geçerli hesaplardan yararlanırlar. İçeri girdikten sonra fidye yazılımı grupları arasında yaygın bir araç olan “lolbins”i kullanıyorlar.
PLAY fidye yazılımı grubu kuruluşlara nasıl sızıyor?
Yürütülebilir dosyaları dahili ağ içinde dağıtmak için Grup İlkesi Nesnelerini, zamanlanmış görevleri, PsExec veya Wmic’i kullanırlar.
Tam erişim sağladıktan sonra dosyaları şifrelerler ve dosyaların sonuna “.play” uzantısını eklerler. Ayrıca grup, hassas verileri ifşa etme tehdidinde bulunarak çifte gasp uyguluyor.
PLAY fidye yazılımı grubu yakın zamanda cephaneliğini genişleterek ProxyNotShell, OWASSRF ve Microsoft Exchange Server Uzaktan Kod Yürütme gibi yeni araçları ve güvenlik açıklarını bünyesine kattı.
Bunlar arasında, özel bir ağ tarayıcısı ve bilgi hırsızı olan Grixba ile açık kaynaklı VSS yönetim aracı AlphaVSS dikkate değer eklemelerdir.
PLAY fidye yazılımı ile diğer fidye yazılımı aileleri, özellikle Hive ve Nokoyawa arasında potansiyel bir bağlantı olduğu bildirildi. Paylaşılan taktikler ve araçlar, bu gruplar arasında bağlantı olasılığının yüksek olduğunu göstermektedir.
Ayrıca PLAY ile Conti fidye yazılımı grubunun bir kolu olan Quantum fidye yazılımı arasında paralellikler kuruldu. Her iki grup da bir miktar altyapıyı paylaşıyor; “206546002” filigranını taşıyan Kobalt Saldırısı işaretçileri temel göstergedir.
Emotet truva atını kullanan mevcut spam kampanyalarının olmamasına rağmen, Emotet’in PLAY’in fidye yazılımı saldırılarında bulunanlarla aynı ayırt edici filigranı taşıyan Cobalt Strike işaretçilerini dağıtmak için kullanıldığı seçilmiş durumlar tespit edildi.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.