O Federal Bureau of Investigation (FBI) diz que o grupo de ransomware Play violou cerca de 300 organizações em todo o mundo entre junho de 2022 e outubro de 2023, algumas delas entidades de infraestrutura crítica.
O alerta surge como um aviso conjunto emitido em parceria com a CISA e o Centro de Segurança Cibernética da Austrália do Diretório de Sinais da Austrália (ACSC do ASD).
"Desde junho de 2022, o grupo de ransomware Play (também conhecido como Playcrypt) impactou uma ampla variedade de empresas e infraestruturas críticas na América do Norte, América do Sul e Europa", alertaram hoje as três agências governamentais.
"A partir de outubro de 2023, o FBI estava ciente de aproximadamente 300 entidades afetadas supostamente exploradas pelos atores de ransomware."
A operação de ransomware Play surgiu em junho de 2022, depois que as primeiras vítimas pediram ajuda nos fóruns do BleepingComputer.
Em contraste com as operações típicas de ransomware, os afiliados do ransomware Play optam por comunicação por email como canal de negociação e não fornecem às vítimas um link de página de negociações Tor nas notas de resgate deixadas nos sistemas comprometidos.
No entanto, antes de implantar o ransomware, eles roubarão documentos sensíveis de sistemas comprometidos, que usam para pressionar as vítimas a pagar demandas de resgate sob a ameaça de vazar os dados roubados online.
A gangue também está usando uma ferramenta de cópia VSS personalizada para roubar arquivos de cópias de sombra de volume mesmo quando esses arquivos estão em uso por aplicativos.
As vítimas recentes de alto perfil do ransomware Play incluem a cidade de Oakland na Califórnia, a gigante varejista de carros Arnold Clark, a empresa de computação em nuvem Rackspace e a cidade belga de Antuérpia.
Em orientações emitidas hoje pelo FBI, CISA, e ACSC do ASD, as organizações são instadas a priorizar o endereçamento de vulnerabilidades conhecidas que foram exploradas para reduzir a probabilidade de serem usadas em ataques de ransomware Play.
Defensores de rede também são fortemente aconselhados a implementar autenticação multifator (MFA) em todos os serviços, concentrando-se em webmail, VPN e contas com acesso a sistemas críticos.
Adicionalmente, a atualização regular e correção de software e aplicações para suas versões mais recentes e avaliação de vulnerabilidade de rotina devem fazer parte das práticas de segurança padrão de todas as organizações.
As três agências governamentais também aconselham as equipes de segurança a implementar as medidas de mitigação compartilhadas com o aviso conjunto de hoje.
"O FBI, a CISA e o ACSC do ASD incentivam as organizações a implementar as recomendações na seção Mitigations deste CSA para reduzir a probabilidade e o impacto de incidentes de ransomware", disseram as agências.
"Isso inclui exigir autenticação multifator, manter backups offline de dados, implementar um plano de recuperação e manter todos os sistemas operacionais, software e firmware atualizados."
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...