Le Federal Bureau of Investigation (FBI) a déclaré que le gang de ransomwares Play avait piraté environ 300 organisations dans le monde entre juin 2022 et octobre 2023, dont certaines étaient des entités d’infrastructure critiques.
L’avertissement est un avis conjoint publié en partenariat avec la CISA et le Centre australien de cybersécurité de la Direction australienne des signaux (ACSC de l’ASD).
« Depuis juin 2022, le groupe de ransomwares Play (également connu sous le nom de Playcrypt) a eu un impact sur un large éventail d’entreprises et d’infrastructures critiques en Amérique du Nord, en Amérique du Sud et en Europe », ont averti les trois agences gouvernementales aujourd’hui.
« En octobre 2023, le FBI était au courant d’environ 300 entités affectées qui auraient été exploitées par les acteurs du ransomware. »
L’opération de ransomware Play a fait surface en juin 2022, après que les premières victimes ont demandé de l’aide sur les forums de Breachtrace.
Contrairement aux opérations de ransomware typiques, les affiliés de Play ransomware optent pour la communication par courrier électronique comme canal de négociation et ne fourniront pas aux victimes un lien vers la page de négociation Tor dans les notes de rançon laissées sur les systèmes compromis.
Néanmoins, avant de déployer un ransomware, ils voleront des documents sensibles sur des systèmes compromis, qu’ils utiliseront pour faire pression sur les victimes pour qu’elles paient des demandes de rançon sous la menace de divulguer les données volées en ligne.
Le gang utilise également un outil de copie VSS personnalisé qui permet de voler des fichiers à partir de copies de volumes instantanés, même lorsque ces fichiers sont utilisés par des applications.
Parmi les récentes victimes de ransomware Play très médiatisées figurent la ville d’Oakland en Californie, le géant de la distribution automobile Arnold Clark, la société d’informatique en nuage Rackspace et la ville belge d’Anvers.
Dans les directives publiées aujourd’hui par le FBI, la CISA et l’ACSC d’ASD, les organisations sont invitées à donner la priorité aux vulnérabilités connues qui ont été exploitées pour réduire leur probabilité d’être utilisées dans des attaques de ransomware Play.
Il est également fortement conseillé aux défenseurs des réseaux de mettre en œuvre l’authentification multifacteur (MFA) sur tous les services, en se concentrant sur la messagerie Web, le VPN et les comptes ayant accès aux systèmes critiques.
De plus, la mise à jour et la correction régulières des logiciels et des applications vers leurs versions les plus récentes et les évaluations de vulnérabilité de routine devraient faire partie des pratiques de sécurité standard de toutes les organisations.
Les trois agences gouvernementales conseillent également aux équipes de sécurité de mettre en œuvre les mesures d’atténuation partagées avec l’avis conjoint d’aujourd’hui.
« Le FBI, la CISA et l’ACSC d’ASD encouragent les organisations à mettre en œuvre les recommandations de la section sur les mesures d’atténuation de cette CSA afin de réduire la probabilité et l’impact des incidents de ransomware », ont déclaré les agences.
« Cela inclut l’authentification multifacteur, la maintenance des sauvegardes hors ligne des données, la mise en œuvre d’un plan de récupération et la mise à jour de tous les systèmes d’exploitation, logiciels et micrologiciels. »