Détection du Ransomware Play : Attaques Récurrentes Contre les Entreprises et les Infrastructures Critiques aux États-Unis, en Amérique du Sud et en Europe
Table des matières :
À la fin novembre 2023, les principales agences de cybersécurité des États-Unis, en collaboration avec des partenaires internationaux, ont publié une alerte couvrant les attaques par ransomware LockBit 3.0 dans le cadre de leur effort #StopRansomware visant à renforcer la sensibilisation à la cybersécurité. Récemment, une autre Cybersecurity Advisory conjointe a été publiée pour informer les défenseurs des attaques en cours par le groupe de ransomware Play. Dans cette alerte, AA23-352A, le FBI, la CISA et le Centre australien de cybersécurité de la Direction du signalement australien (ASD’s ACSC) ont mis en lumière les activités malveillantes des opérateurs du ransomware Play qui auraient compromis au moins 300 entités au cours de leurs attaques ciblées.
Détection des attaques du ransomware Play
Avec des tactiques, techniques et procédures plus avancées utilisées par les opérateurs de ransomware, les praticiens de la cybersécurité nécessitent une source fiable de contenu de détection pour devancer les adversaires et détecter les attaques le plus tôt possible. La plateforme SOC Prime pour la défense cybernétique collective regroupe un ensemble d’algorithmes de détection aidant à identifier les outils généralement utilisés par les mainteneurs du ransomware Play et les activités malveillantes pouvant mener à une infection potentielle.
La collection de 20 règles Sigma conçues pour la détection du ransomware Play est compatible avec 28 solutions SIEM, EDR, EDR et Data Lake. Toutes les règles sont mappées sur le cadre MITRE ATT&CK® et enrichies de métadonnées étendues, y compris des liens CTI, des chronologies d’attaque, des recommandations de triage, etc. Il suffit de cliquer sur le bouton Examinez les détections ci-dessous et d’explorer un lot de détections sélectionnées pour rationaliser votre enquête sur les menaces.
De plus, les défenseurs peuvent également s’appuyer sur des algorithmes de détection pour ProxyNotShell des vulnérabilités dans Microsoft Exchange Server (CVE-2022-41040 and CVE-2022-41082) exploitées par les acteurs du ransomware Play au stade d’accès initial.
Analyse des attaques de ransomware Play
Le 18 décembre 2023, le FBI, la CISA et le Centre australien de cybersécurité de l’ASD ont publié une nouvelle alerte couvrant les opérations offensives en cours par le groupe de ransomware Play, également connu sous le nom de Playcrypt.
Depuis l’été 2022, les opérateurs du ransomware Playcrypt ont ciblé plusieurs entreprises et infrastructures critiques à travers les États-Unis, l’Amérique du Sud et l’Europe. En octobre 2023, le FBI a découvert environ 300 entités affectées par les attaques de ransomware du groupe. En Australie, le ransomware Play a été identifié pour la première fois au milieu du printemps 2023.
Le groupe de ransomware Play appartient à une unité offensive hautement confidentielle qui utilise un modèle de double extorsion. Les adversaires cryptent les systèmes et procèdent à une exfiltration de données avant d’envoyer des notes de rançon. Ces dernières ne fournissent pas de directives de paiement directes. Les opérateurs du ransomware Play préfèrent un mode de communication plus furtif en demandant à leurs victimes de les contacter par e-mail. Les paiements de la rançon sont exigés en cryptomonnaie et doivent être envoyés aux adresses de portefeuille spécifiées par les acteurs de Play. Si une victime refuse de payer la rançon, les adversaires menacent de révéler les données exfiltrées sur leur site de fuite sur le réseau Tor.
En tant que mesures d’atténuation, les défenseurs recommandent de suivre les meilleures pratiques de sécurité, telles que la mise en œuvre de l’authentification multifactorielle, la création régulière de sauvegardes de données hors ligne, l’établissement d’un plan de récupération complet et la garantie que les systèmes et logiciels sont toujours à jour tout en s’appuyant sur des correctifs réguliers.
Les opérateurs de ransomware Play obtiennent généralement un accès initial en abusant des comptes légitimes et en armant les vulnérabilités dans les instances exposées, en particulier en ciblant FortiOS (CVE-2018-13379 et CVE-2020-12812) et les exploits de vulnérabilité ProxyNotShell. Ils profitent également de RDP et VPN au stade initial d’accès.
Pour éviter la détection, le groupe de ransomware Play utilise un utilitaire AdFind et un voleur d’informations Grixba, ainsi qu’un PowerTool pour désactiver les logiciels antivirus et supprimer les fichiers journaux. Pour faciliter les mouvements latéraux et l’exécution de fichiers, les adversaires exploitent des applications C2, telles que Cobalt Strike et SystemBC, ainsi que des utilitaires comme PsExec. Ensuite, ils utilisent le dumper d’identifiants Mimikatz pour acquérir l’accès administrateur de domaine.
Les volumes croissants d’attaques astucieuses attribuées au groupe de ransomware Play nécessitent une ultra-réactivité des forces défensives pour donner la priorité à la remédiation des menaces. Connectez-vous à la plateforme SOC Prime pour équiper votre équipe de plus de 900 contenus de détection pour une défense proactive contre les attaques de ransomware critiques de toute sophistication.
