Federal Soruşturma Bürosu (FBI), Play fidye yazılımı çetesinin Haziran 2022 ile Ekim 2023 arasında dünya çapında yaklaşık 300 kuruluşu ihlal ettiğini, bunların bazılarının kritik altyapı kuruluşları olduğunu söyledi.
Uyarı, CISA ve Avustralya Sinyaller Müdürlüğü’nün Avustralya Siber Güvenlik Merkezi (ASD’nin ACSC’si) ile ortaklaşa yayınlanan ortak bir tavsiye belgesi olarak geliyor.
Üç devlet kurumu bugün, “Haziran 2022’den bu yana Play (Playcrypt olarak da bilinir) fidye yazılımı grubu, Kuzey Amerika, Güney Amerika ve Avrupa’da çok çeşitli işletmeleri ve kritik altyapıyı etkiledi.” uyarısında bulundu.
“Ekim 2023 itibarıyla FBI, fidye yazılımı aktörleri tarafından istismar edildiği iddia edilen yaklaşık 300 etkilenen kuruluşun farkındaydı.”
Play fidye yazılımı operasyonu, ilk kurbanların BleepingComputer forumlarından yardım istemesinin ardından Haziran 2022’de ortaya çıktı.
Tipik fidye yazılımı operasyonlarının aksine Play fidye yazılımı ortakları, müzakere kanalı olarak e-posta iletişimini tercih eder ve mağdurlara, güvenliği ihlal edilmiş sistemlerde bırakılan fidye notlarında Tor görüşmeleri sayfası bağlantısı sağlamaz.
Bununla birlikte, fidye yazılımını dağıtmadan önce, ele geçirilen sistemlerden hassas belgeleri çalacaklar ve bunları, çalınan verilerin çevrimiçi olarak sızdırılması tehdidi altında kurbanlara fidye taleplerini ödemeye baskı yapmak için kullanacaklar.
Ekip ayrıca, dosyalar uygulamalar tarafından kullanılıyor olsa bile gölge birim kopyalarından dosyaların çalınmasına yardımcı olan özel bir VSS Kopyalama Aracı kullanıyor.
Son dönemdeki yüksek profilli Play fidye yazılımı kurbanları arasında Kaliforniya’nın Oakland Şehri, otomobil perakendecisi devi Arnold Clark, bulut bilişim şirketi Rackspace ve Belçika’nın Antwerp şehri yer alıyor.
FBI, CISA ve ASD’nin ACSC’si tarafından bugün yayınlanan kılavuzda, kuruluşların Play fidye yazılımı saldırılarında kullanılma olasılığını azaltmak için istismar edilen bilinen güvenlik açıklarına öncelik vermeleri isteniyor.
Ağ savunucularına ayrıca web postası, VPN ve kritik sistemlere erişimi olan hesaplara odaklanarak tüm hizmetlerde çok faktörlü kimlik doğrulamayı (MFA) uygulamaları şiddetle tavsiye edilir.
Ayrıca, yazılım ve uygulamaların düzenli olarak güncellenmesi ve en son sürümlerine yama uygulanması ve rutin güvenlik açığı değerlendirmeleri, tüm kuruluşların standart güvenlik uygulamalarının bir parçası olmalıdır.
Üç devlet kurumu ayrıca güvenlik ekiplerine bugünkü ortak danışma belgesinde paylaşılan hafifletme önlemlerini uygulamaları konusunda tavsiyelerde bulunuyor.
Ajanslar, “FBI, CISA ve ASD’nin ACSC’si, fidye yazılımı olaylarının olasılığını ve etkisini azaltmak için kuruluşları bu CSA’nın Azaltmalar bölümündeki tavsiyeleri uygulamaya teşvik ediyor” dedi.
“Bu, çok faktörlü kimlik doğrulamanın zorunlu kılınmasını, verilerin çevrimdışı yedeklerinin tutulmasını, bir kurtarma planının uygulanmasını ve tüm işletim sistemlerinin, yazılımların ve donanım yazılımının güncel tutulmasını içerir.”