Rilevamento del Ransomware Play: Attacchi Ransomware in Corso Contro Aziende e Infrastrutture Critiche negli Stati Uniti, Sud America ed Europa

Alla fine di novembre 2023, le principali agenzie di cybersecurity statunitensi, in collaborazione con partner internazionali, hanno emesso un allarme riguardante gli attacchi ransomware LockBit 3.0 come parte del loro sforzo #StopRansomware mirato a potenziare la consapevolezza sulla cybersecurity. Recentemente, è stato pubblicato un altro avviso congiunto sulla Cybersecurity finalizzato a notificare i difensori degli attacchi in corso da parte del gruppo ransomware Play. In questo allarme, AA23-352A, l’FBI, la CISA e l’Australian Signals Directorate dell’Australian Cyber Security Centre (ASD’s ACSC) hanno fatto luce sull’attività dannosa degli operatori del ransomware Play che si ritiene abbiano compromesso almeno 300 entità attraverso i loro attacchi mirati.

Rilevamento degli Attacchi del Ransomware Play

Con tattiche, tecniche e procedure più avanzate utilizzate dagli operatori ransomware, i professionisti della cybersecurity richiedono una fonte affidabile di contenuti di rilevamento per superare gli avversari e rilevare gli attacchi nelle prime fasi possibili. La piattaforma SOC Prime per la difesa informatica collettiva aggrega un insieme di algoritmi di rilevamento che aiutano a identificare gli strumenti tipicamente utilizzati dai manutentori del ransomware Play e l’attività dannosa che porta a un’infezione potenziale. 

La raccolta di 20 regole Sigma personalizzate per il rilevamento del ransomware Play è compatibile con 28 soluzioni SIEM, EDR, e Data Lake. Tutte le regole sono mappate al framework MITRE ATT&CK® e arricchite con metadati estesi, inclusi collegamenti CTI, timeline degli attacchi, raccomandazioni di triage, ecc. Basta premere il pulsante Esplora Rilevamenti qui sotto e approfondire un set di rilevamenti curati per ottimizzare la tua indagine sulle minacce. 

Esplora Rilevamenti

Inoltre, i difensori possono anche contare sugli algoritmi di rilevamento per ProxyNotShell relative alle vulnerabilità in Microsoft Exchange Server (CVE-2022-41040 and CVE-2022-41082) che vengono sfruttate dagli attori del ransomware Play nella fase di accesso iniziale. 

Analisi degli Attacchi del Ransomware Play

Il 18 dicembre 2023, FBI, CISA e ASD’s ACSC hanno rilasciato un nuovo avviso riguardante le operazioni offensive in corso del gruppo ransomware Play, noto anche come Playcrypt. 

Dall’estate del 2022, gli operatori ransomware Playcrypt hanno preso di mira diverse aziende e infrastrutture critiche negli Stati Uniti, in Sud America e in Europa. Nell’ottobre 2023, l’FBI ha scoperto circa 300 entità colpite dagli attacchi ransomware del gruppo. In Australia, il ransomware Play è stato identificato per la prima volta a metà primavera del 2023.

Il gruppo ransomware Play appartiene a un’unità offensiva altamente riservata che utilizza un modello di doppia estorsione. Gli avversari crittografano i sistemi ed eseguono l’esfiltrazione dei dati prima di inviare note di riscatto. Queste ultime non forniscono direttamente linee guida per il pagamento. Gli operatori del ransomware Play preferiscono un modo di comunicazione più segreto, invitando le loro vittime a contattarli via email. I pagamenti per il riscatto vengono richiesti in criptovalute e devono essere inviati a indirizzi di portafoglio specificati dagli attori di Play. Nel caso in cui una vittima rifiuti di pagare il riscatto, gli avversari li minacciano di divulgare i dati esfiltrati sul loro sito di leak sulla rete Tor.

Come misure di mitigazione, si raccomanda ai difensori di seguire le migliori pratiche di sicurezza, come implementare l’autenticazione a più fattori, creare regolarmente backup offline dei dati, stabilire un piano di recupero completo e assicurarsi che il sistema e il software siano sempre aggiornati facendo affidamento su regolari patch.

Gli operatori del ransomware Play comunemente ottengono l’accesso iniziale abusando di account legittimi e utilizzando vulnerabilità in istanze esposte al pubblico, concentrando le loro attenzioni su FortiOS (CVE-2018-13379 e CVE-2020-12812) e sui sfruttamenti di vulnerabilità ProxyNotShell . Inoltre, approfittano di RDP e VPN nella fase di accesso iniziale. 

Per eludere il rilevamento, il gruppo ransomware Play applica un’utilità AdFind e un info-stealer Grixba, oltre a PowerTool per disabilitare il software antivirus e rimuovere i file di log. Per facilitare i movimenti laterali e l’esecuzione di file, gli avversari utilizzano applicazioni C2, come Cobalt Strike e SystemBC, insieme a utility come PsExec. Inoltre, impiegano il dumper di credenziali Mimikatz per ottenere l’accesso all’amministratore di dominio.

Gli attacchi sempre più voluminosi e complessi attribuiti al gruppo ransomware Play richiedono una ultra-reattività da parte delle forze difensive per dare la priorità alla mitigazione delle minacce. Accedi alla piattaforma SOC Prime per dotare il tuo team di oltre 900 contenuti di rilevamento per una difesa informatica proattiva contro attacchi ransomware critici di qualsiasi complessità.