Play Ransomware Detection: Ongoing Ransomware Attacks Against Businesses and Critical Infrastructure in the U.S., South America, and Europe
목차:
2023년 11월 말, 선도적인 미국 사이버 보안 기관들이 국제 파트너들과 협력하여 발표한 경고문에서 LockBit 3.0 랜섬웨어 공격 #StopRansomware 노력을 통해 사이버 보안 인식을 높이기 위한 일환으로, 최근 Play 랜섬웨어 그룹의 지속적인 공격을 알리는 또 다른 공동 사이버 보안 권고가 발표되었습니다. 이 경고 문서인 AA23-352A에서 FBI, CISA 및 호주 신호국의 호주 사이버 보안 센터(ASD의 ACSC)는 Play 랜섬웨어 운영자들의 악의적인 활동을 조명하며 이들이 최소 300개 이상의 기업을 타겟으로 하는 공격을 감행했다고 밝혔습니다.
Play 랜섬웨어 공격 탐지
랜섬웨어 운영자들이 활용하는 더욱 고급화된 전술, 기법 및 절차로 인해 사이버 보안 전문가들은 적들을 초과 속도로 탐지하고 가능한 한 초기에 공격을 탐지할 수 있는 신뢰할 수 있는 탐지 콘텐츠 소스가 필요합니다. 집단 사이버 방어를 위한 SOC Prime 플랫폼은 Play 랜섬웨어 유포자 및 잠재적 감염으로 이어지는 악의적 활동을 식별하는 데 도움을 주는 감지 알고리즘 세트를 집계합니다.
Play 랜섬웨어 탐지를 위해 맞춤형으로 개발된 20개의 Sigma 규칙 모음은 28개의 SIEM, EDR, EDR 및 데이터 레이크 솔루션과 호환됩니다. 모든 규칙은 MITRE ATT&CK® 프레임워크 에 매핑되어 있으며, CTI 링크, 공격 타임라인, 분류 권장 사항 등을 포함한 광범위한 메타데이터로 확장되어 있습니다. 아래의 탐지 탐색 버튼을 클릭하여 위협 조사를 간소화할 수 있는 큐레이션된 탐지 세트를 자세히 살펴보세요.
또한 방어자는 ProxyNotShell에 대한 탐지 알고리즘에 의존할 수 있습니다 Microsoft Exchange Server의 취약성 (CVE-2022-41040 and CVE-2022-41082)은 Play 랜섬웨어 배우들에 의해 초기 접근 단계에서 활용됩니다.
Play 랜섬웨어 공격 분석
2023년 12월 18일, FBI, CISA, 및 ASD의 ACSC가 새로운 경고를 발표했습니다 Playcrypt으로도 알려진 Play 랜섬웨어 그룹의 계속되는 공격 작전을 다룹니다.
2022년 여름 이후, Playcrypt 랜섬웨어 운영자들은 미국, 남미, 유럽 전역의 여러 기업 및 핵심 인프라를 목표로 삼았습니다. 2023년 10월, FBI는 해당 그룹의 랜섬웨어 공격에 의해 영향을 받은 약 300개의 기업을 밝혀냈습니다. 호주에서는 2023년 중봄에 Play 랜섬웨어가 처음으로 확인되었습니다.
Play 랜섬웨어 그룹은 이중 갈취 모델을 사용하는 아주 비밀스러운 공격 부대에 속합니다. 적들은 시스템을 암호화하고 몸값 요구서를 보내기 전에 데이터 탈취를 수행합니다. 후자는 직접적인 지불 지침을 제공하지 않습니다. Play 랜섬웨어 운영자들은 피해자들이 이메일을 통해 그들과 연락하도록 유도하는 더 은밀한 방식의 의사소통을 선호합니다. 랜섬 지불은 암호화폐로 요구되며 Play 배우들이 지정한 지갑 주소로 보내야 합니다. 만약 피해자가 몸값을 지불하지 않을 경우, 적들은 탈취한 데이터를 Tor 네트워크의 누설 사이트에 공개하겠다는 위협을 가합니다.
완화 조치로서 방어자들은 다중 인증 구현, 데이터의 정기적인 오프라인 백업 생성, 포괄적인 복구 계획 수립, 시스템과 소프트웨어가 항상 최신 상태를 유지하는 것이 권장되며 규칙적인 패치를 신뢰해야 한다고 권고합니다.
Play 랜섬웨어 운영자들은 주로 합법적인 계정을 악용하고 특히 FortiOS(CVE-2018-13379 및 CVE-2020-12812)와 ProxyNotShell 취약점 악용에 초점을 맞추며 공공 영역에 노출된 인스턴스를 무기화하여 초기 접근을 얻습니다. 또한, 그들은 초기 접근 단계에서 RDP와 VPN을 이용합니다.
탐지를 피하기 위해 Play 랜섬웨어 그룹은 AdFind 유틸리티와 Grixba 정보 도둑, 그리고 PowerTool을 사용하여 안티바이러스 소프트웨어를 비활성화하고 로그 파일을 제거합니다. 측면 이동과 파일 실행을 용이하게 하기 위해 Cobalt Strike 및 SystemBC와 같은 C2 애플리케이션과 PsExec과 같은 유틸리티를 활용합니다. 더 나아가서 그들은 Mimikatz 크리덴셜 덤퍼를 사용하여 도메인 관리자 접근을 획득합니다.
Play 랜섬웨어 그룹에게 기인하는 증가하는 복잡한 공격 양은 방어력에게 위협 해결을 우선시할 수 있도록 초고속 대응이 요구됩니다. SOC Prime 플랫폼에 로그인하여 귀하의 팀을 900개 이상의 탐지 콘텐츠 로 무장하여 어떤 복잡성의 주요 랜섬웨어 공격에도 선제적으로 사이버 방어할 수 있습니다.
