Το Ομοσπονδιακό Γραφείο Ερευνών (FBI) εξέδωσε επείγουσα κοινή κυβερνοασφαλιστική προειδοποίηση σε συνεργασία με την Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA), καθώς οι επιβεβαιωμένοι στόχοι των επιθέσεων με το κακόβουλο λογισμικό Play ransomware αυξήθηκαν δραματικά τον Μάιο. Οι δράστες, όπως προειδοποίησε το FBI, έχουν πλήξει ένα ευρύ φάσμα οργανισμών, από επιχειρήσεις έως και παρόχους κρίσιμων υποδομών, σε Βόρεια και Νότια Αμερική, καθώς και σε χώρες της Ευρώπης.
Επιταχύνονται οι επιθέσεις της ομάδας Play ransomware, λένε FBI και CISA
Η νέα αναθεωρημένη προειδοποίηση για το Play ransomware είναι αποτέλεσμα κοινής έρευνας του FBI, της CISA και του Αυστραλιανού Κέντρου Κυβερνοασφάλειας, που αποκάλυψε εξελίξεις στις τεχνικές, τακτικές και μεθόδους δράσης της εγκληματικής ομάδας. Τον Μάιο, το FBI επιβεβαίωσε ότι έχει γνώση 900 οργανισμών που υπήρξαν θύματα της συμμορίας – τριπλάσιος αριθμός από την προηγούμενη ενημέρωση.
Η προειδοποίηση αποτελεί μέρος της εκστρατείας Stop Ransomware και στοχεύει στην ενημέρωση και την ενίσχυση της άμυνας των οργανισμών, παρέχοντας νέους δείκτες παραβίασης και πληροφόρηση για τις εξελισσόμενες τακτικές των επιτιθέμενων.
Πώς λειτουργεί η ομάδα Play ransomware
Σύμφωνα με την ειδοποίηση AA23-352A, η Play θεωρείται κλειστή ομάδα ransomware, γεγονός που σημαίνει πως δρα ανεξάρτητα για να «εγγυηθεί την εχεμύθεια των συμφωνιών» με τα λύτρα και τα δεδομένα που αποσπά. Τα σημειώματα λύτρων δεν περιλαμβάνουν συγκεκριμένο ποσό ή οδηγίες πληρωμής, αλλά καλούν τα θύματα να επικοινωνήσουν με τους δράστες μέσω γερμανικών email domains – τα οποία είναι μοναδικά για κάθε επίθεση.
Το FBI αναφέρει ότι «μερικά θύματα δέχονται τηλεφωνικές απειλές» για δημοσιοποίηση των κλεμμένων δεδομένων, με σκοπό να εξαναγκαστούν σε διαπραγμάτευση υπό πίεση.
Πιθανή σύνδεση με κρατική ομάδα της Βόρειας Κορέας
Το Play ransomware ενδέχεται να σχετίζεται με κρατικά υποστηριζόμενη ομάδα της Βόρειας Κορέας που υπάγεται στο «Γραφείο Γενικών Αναγνωρίσεων» της Λαοκρατικής Δημοκρατίας της Κορέας. Η καμπάνια δείχνει να μην επιβραδύνεται, γεγονός που επιβάλλει στους οργανισμούς να ενισχύσουν άμεσα τις άμυνές τους.
Τι πρέπει να κάνετε άμεσα σύμφωνα με το FBI
Το FBI συστήνει τα παρακάτω κρίσιμα μέτρα άμεσης μείωσης κινδύνου:
- Σχέδιο ανάκτησης δεδομένων με διατήρηση πολλαπλών αντιγράφων σε απομονωμένες και ασφαλείς τοποθεσίες.
- Ασφαλής διαχείριση κωδικών: τουλάχιστον 15 χαρακτήρες, με αποθήκευση σε μορφή hashed και salted.
- Απαγόρευση επαναχρησιμοποίησης κωδικών και χρήσης υποδείξεων.
- Κλείδωμα λογαριασμού μετά από πολλαπλές αποτυχημένες προσπάθειες.
- Πολυπαραγοντικός έλεγχος ταυτότητας για όλους τους λογαριασμούς.
- Δικαιώματα διαχειριστή απαιτούνται για την εγκατάσταση λογισμικού.
- Άμεση εγκατάσταση ενημερώσεων ασφαλείας και firmware.
- Κατατμημένος σχεδιασμός δικτύου για περιορισμό της εξάπλωσης του ransomware.
- Απενεργοποίηση μη χρησιμοποιούμενων θυρών και συνδέσμων σε εισερχόμενα email.
- Απενεργοποίηση scripts και γραμμών εντολών όπου δεν απαιτούνται.
Η προστασία από επιθέσεις τύπου ransomware όπως το Play δεν είναι πλέον επιλογή αλλά απαραίτητη προτεραιότητα. Η καθυστέρηση στην εφαρμογή αυτών των μέτρων μπορεί να αφήσει τους οργανισμούς ανοχύρωτους απέναντι σε επιθέσεις με καταστροφικές συνέπειες.
