On estime que les auteurs de la menace derrière le ransomware Play auraient touché environ 300 entités en octobre 2023, selon un nouvel avis conjoint sur la cybersécurité de l’Australie et des États-Unis.
« Les acteurs du ransomware Play utilisent un modèle de double extorsion, chiffrant les systèmes après avoir exfiltré les données et ont touché un large éventail d’entreprises et d’organisations d’infrastructures critiques en Amérique du Nord, en Amérique du Sud, en Europe et en Australie », selon les autorités. dit.
Également appelé Balloonfly et PlayCrypt, Play est apparu en 2022, exploitant les failles de sécurité des serveurs Microsoft Exchange (CVE-2022-41040 et CVE-2022-41082) et des appareils Fortinet (CVE-2018-13379 et CVE-2020-12812) pour pirater les entreprises. et déployer des logiciels malveillants de cryptage de fichiers.
Il convient de souligner que les attaques de ransomware exploitent de plus en plus les vulnérabilités plutôt que d’utiliser les e-mails de phishing comme vecteurs d’infection initiale, passant de presque zéro au second semestre 2022 à près d’un tiers au premier semestre 2023, selon données de Corvus.
Battez les menaces basées sur l’IA avec Zero Trust – Webinaire pour les professionnels de la sécurité
Les mesures de sécurité traditionnelles ne suffiront pas dans le monde d’aujourd’hui. L’heure est à la sécurité Zero Trust. Sécurisez vos données comme jamais auparavant.
La société de cybersécurité Adlumin, dans un rapport publié le mois dernier, a révélé que Play était proposé à d’autres acteurs malveillants « en tant que service », achevant ainsi sa transformation en une opération de ransomware-as-a-service (RaaS).
Les attaques de ransomware orchestrées par le groupe se caractérisent par l’utilisation d’outils publics et sur mesure comme AdFind pour exécuter des requêtes Active Directory, GMER, IOBit et PowerTool pour désactiver le logiciel antivirus, et Grixba pour énumérer les informations sur le réseau et pour collecter des informations sur les logiciels de sauvegarde et à distance. outils d’administration installés sur une machine.
Il a également été observé que les acteurs de la menace effectuent des mouvements latéraux et des étapes d’exfiltration et de cryptage de données, en misant sur Cobalt Strike, SystemBC et Mimikatz pour la post-exploitation.
« Le groupe de rançongiciels Play utilise un modèle de double extorsion, cryptant les systèmes après avoir exfiltré les données », ont indiqué les agences. « Les notes de rançon n’incluent pas de demande de rançon initiale ni d’instructions de paiement. Les victimes sont plutôt invitées à contacter les auteurs de la menace par courrier électronique. »
Selon les statistiques compilées par MalwarebytesPlay aurait fait près de 40 victimes rien qu’en novembre 2023, mais il est loin derrière ses pairs. Bit de verrouillage et Chat noir (alias ALPHV et Noberus).
L’alerte intervient quelques jours après que les agences gouvernementales américaines ont publié un bulletin mis à jour sur le groupe Karakurt, connu pour éviter les attaques basées sur le cryptage en faveur de l’extorsion pure après avoir obtenu un accès initial aux réseaux via l’achat d’identifiants de connexion volés, des courtiers en intrusion (alias courtiers en accès initial). ), le phishing et les failles de sécurité connues.
« Les victimes de Karakurt n’ont pas signalé le cryptage des machines ou des fichiers compromis ; les acteurs de Karakurt ont plutôt affirmé avoir volé des données et menacé de les vendre aux enchères ou de les rendre publiques à moins qu’ils ne reçoivent le paiement de la rançon demandée », a déclaré le gouvernement. dit.
Ces développements interviennent également dans un contexte spéculations que le ransomware BlackCat aurait pu être la cible d’une opération des forces de l’ordre après la mise hors ligne de ses portails de fuite du dark web pendant cinq jours. Cependant, le collectif de lutte contre la criminalité électronique a imputé la panne à une panne matérielle.
De plus, un autre groupe de ransomwares naissant, connu sous le nom de NoEscape, aurait j’ai réussi une arnaque à la sortie« volant les paiements de rançon et fermant les panneaux Web et les sites de fuite de données du groupe », incitant d’autres gangs comme LockBit à recruter leurs anciens affiliés.
Que le paysage des ransomwares évolue et change constamment, que ce soit en raison de pressions externes des forces de l’ordre, n’est guère surprenant. Ceci est également démontré par la collaboration entre les gangs de ransomwares BianLian, White Rabbit et Mario dans une campagne d’extorsion conjointe ciblant les sociétés de services financiers cotées en bourse.
« Ces campagnes de rançon coopératives sont rares, mais pourraient devenir plus courantes en raison de l’implication de courtiers d’accès initial (IAB) collaborant avec plusieurs groupes sur le dark web », Resecurity dit dans un rapport publié la semaine dernière.
« Un autre facteur susceptible de conduire à une plus grande collaboration est l’intervention des forces de l’ordre qui crée des réseaux de diasporas cybercriminelles. Les participants déplacés de ces réseaux d’acteurs menaçants peuvent être plus disposés à collaborer avec leurs rivaux. »