Play Ransomware-Erkennung: Laufende Ransomware-Angriffe auf Unternehmen und kritische Infrastruktur in den USA, Südamerika und Europa
Inhaltsverzeichnis:
Ende November 2023 gaben führende US-Cybersicherheitsbehörden in Zusammenarbeit mit internationalen Partnern eine Warnung heraus, die LockBit 3.0 Ransomware-Angriffe im Rahmen ihrer #StopRansomware-Initiative zur Steigerung des Bewusstseins für Cybersicherheit abdeckte. Kürzlich wurde eine weitere gemeinsame Cybersicherheitsberatung veröffentlicht, die Verteidiger über die anhaltenden Angriffe der Play Ransomware-Gruppe informieren soll. In dieser Warnung, AA23-352A, beleuchten FBI, CISA und das Australian Signals Directorate’s Australian Cyber Security Centre (ASD’s ACSC) die bösartigen Aktivitäten der Play-Ransomware-Operatoren, die Berichten zufolge mindestens 300 Organisationen durch ihre gezielten Angriffe kompromittiert haben sollen.
Erkennung von Play Ransomware-Angriffen
Mit fortschrittlicheren Taktiken, Techniken und Verfahren, die von Ransomware-Betreibern angewendet werden, benötigen Cybersicherheitspraktiker eine verlässliche Quelle für Erkennungsinhalte, um Angreifer zu überholen und Angriffe in den frühestmöglichen Phasen zu erkennen. Die SOC Prime-Plattform für kollektive Cyberverteidigung aggregiert einen Satz von Erkennungsalgorithmen, die dabei helfen, Tools zu identifizieren, die typischerweise von Play Ransomware-Wartungsteams verwendet werden, sowie bösartige Aktivitäten, die zu einer potenziellen Infektion führen können.
Die Sammlung von 20 Sigma-Regeln, die für die Erkennung von Play Ransomware maßgeschneidert sind, ist kompatibel mit 28 SIEM-, EDR-, EDR- und Data Lake-Lösungen. Alle Regeln sind mit dem MITRE ATT&CK®-Framework abgestimmt und mit umfangreichen Metadaten angereichert, einschließlich CTI-Links, Angriffschronologien, Erste-Hilfe-Empfehlungen usw. Klicken Sie einfach auf den Explore Detections Button unten, um eine Reihe kuratierter Erkennungen zu untersuchen, die Ihre Bedrohungsuntersuchung rationalisieren können.
Zusätzlich können Verteidiger sich auch auf Erkennungsalgorithmen für ProxyNotShell Schwachstellen in Microsoft Exchange Server (CVE-2022-41040 and CVE-2022-41082) verlassen, die von Play Ransomware-Akteuren in der Anfangszugriffsphase ausgenutzt werden.
Analyse der Play Ransomware-Angriffe
Am 18. Dezember 2023 veröffentlichten FBI, CISA und ASD’s ACSC eine neue Warnung über die laufenden offensiven Operationen der Play-Ransomware-Gruppe, auch bekannt als Playcrypt.
Seit dem Sommer 2022 haben die Playcrypt Ransomware-Betreiber mehrere Unternehmen und kritische Infrastrukturen in den USA, Südamerika und Europa ins Visier genommen. Im Oktober 2023 entdeckte das FBI etwa 300 betroffene Organisationen durch die Ransomware-Angriffe der Gruppe. In Australien wurde die Play-Ransomware erstmals im Frühjahr 2023 identifiziert.
Die Play Ransomware-Gruppe gehört zu einer hochgeheimen Offensiv-Einheit, die ein Doppel-Erpressungsmodell einsetzt. Angreifer verschlüsseln Systeme und führen Datenabflüsse durch, bevor sie Erpresserschreiben senden. Letztere geben keine Zahlungshinweise direkt an. Die Play-Ransomware-Operatoren bevorzugen eine verdecktere Art der Kommunikation, indem sie ihre Opfer auffordern, sie per E-Mail zu kontaktieren. Zahlungen für das Lösegeld werden in Kryptowährung verlangt und sind an Wallet-Adressen zu senden, die von den Play-Akteuren angegeben werden. Sofern ein Opfer sich weigert, das Lösegeld zu zahlen, drohen die Angreifer, die abgeflossenen Daten auf ihrer Leak-Seite im Tor-Netzwerk zu veröffentlichen.
Als Milderungsmaßnahme empfehlen Verteidiger, die besten Sicherheitspraktiken zu befolgen, wie die Implementierung von Multifaktor-Authentifizierung, das regelmäßige Erstellen von Offline-Backups von Daten, das Etablieren eines umfassenden Wiederherstellungsplans und sicherzustellen, dass das System und die Software stets auf dem neuesten Stand sind, während sie sich auf regelmäßige Patches verlassen.
Play-Ransomware-Operatoren gewinnen häufig initialen Zugriff, indem sie legitime Konten missbrauchen und Schwachstellen in öffentlich zugänglichen Instanzen ausnutzen, insbesondere indem sie ihr Augenmerk auf FortiOS (CVE-2018-13379 und CVE-2020-12812) und ProxyNotShell Schwachstellenexploits legen. Außerdem nutzen sie RDP und VPN in der Anfangszugriffsphase aus.
Zur Umgehung der Erkennung setzt die Play-Ransomware-Gruppe ein AdFind-Dienstprogramm und einen Grixba-Information-Dieb ein, sowie PowerTool, um Anti-Viren-Software zu deaktivieren und Protokolldateien zu entfernen. Um die laterale Bewegung und Dateiausführung zu erleichtern, verwenden Angreifer C2-Anwendungen wie Cobalt Strike und SystemBC sowie Dienstprogramme wie PsExec. Weiterhin setzen sie den Mimikatz Anmeldedaten-Dumper ein, um Zugriff auf Domänenadministratoren zu erlangen.
Die zunehmenden Volumina an raffinierten Angriffen, die der Play-Ransomware-Gruppe zugeschrieben werden, erfordern von den Verteidigungskräften eine ultra-schnelle Reaktion, um die Bedrohungen zu priorisieren und zu beheben. Melden Sie sich bei der SOC Prime-Plattform an, um Ihr Team mit über 900 Inhalten zur Erkennung einzurüsten, um proaktiv gegen kritische Ransomware-Angriffe jeglicher Art zu verteidigen.
