Detecção de Ransomware Play: Ataques de Ransomware em Andamento Contra Negócios e Infraestrutura Crítica nos EUA, América do Sul e Europa
Índice:
No final de novembro de 2023, agências líderes de cibersegurança dos EUA, em colaboração com parceiros internacionais, emitiram um alerta abrangendo ataques de ransomware LockBit 3.0 como parte de seu esforço #StopRansomware destinado a aumentar a conscientização sobre cibersegurança. Recentemente, outro Conselho de Cibersegurança conjunto foi emitido com o objetivo de notificar os defensores sobre os ataques em andamento pelo grupo de ransomware Play. Neste alerta, AA23-352A, o FBI, CISA e o Centro Australiano de Cibersegurança da Direção de Sinais Australianos (ACSC da ASD) lançaram luz sobre a atividade maliciosa dos operadores do ransomware Play, que se acredita terem comprometido pelo menos 300 entidades ao longo de seus ataques direcionados.
Detecção de Ataques de Ransomware Play
Com táticas, técnicas e procedimentos mais avançados sendo utilizados pelos operadores de ransomware, os praticantes de cibersegurança precisam de uma fonte confiável de conteúdo de detecção para ultrapassar os adversários e detectar ataques nos estágios mais iniciais possíveis. A Plataforma SOC Prime para defesa cibernética coletiva agrega um conjunto de algoritmos de detecção que ajudam a identificar ferramentas tipicamente usadas por mantenedores do ransomware Play e atividade maliciosa que pode levar a uma potencial infecção.
A coleção de 20 regras Sigma elaboradas para a detecção do ransomware Play é compatível com 28 soluções SIEM, EDR, EDR, e Data Lake. Todas as regras são mapeadas para o framework MITRE ATT&CK® e enriquecidas com metadados extensivos, incluindo links CTI, cronogramas de ataques, recomendações de triagem, etc. Basta clicar no botão Explore Detections abaixo e aprofundar-se em um lote de detecções selecionadas para agilizar sua investigação de ameaças.
Além disso, os defensores também podem contar com algoritmos de detecção para ProxyNotShell vulnerabilidades no Microsoft Exchange Server (CVE-2022-41040 and CVE-2022-41082) que são exploradas por atores do ransomware Play na fase de acesso inicial.
Análise de Ataques do Ransomware Play
Em 18 de dezembro de 2023, o FBI, CISA e ACSC da ASD lançaram um novo alerta abrangendo as operações ofensivas em andamento do grupo de ransomware Play, também conhecido como Playcrypt.
Desde o verão de 2022, os operadores do ransomware Playcrypt têm como alvo múltiplos negócios e infraestruturas críticas nos EUA, América do Sul e Europa. Em outubro de 2023, o FBI descobriu aproximadamente 300 entidades afetadas pelos ataques de ransomware do grupo. Na Austrália, o ransomware Play foi identificado pela primeira vez no meio da primavera de 2023.
O grupo de ransomware Play pertence a uma unidade ofensiva altamente confidencial que emprega um modelo de dupla extorsão. Adversários criptografam sistemas e realizam a exfiltração de dados antes de enviar notas de resgate. Estas não fornecem diretrizes de pagamento diretamente. Os operadores do ransomware Play preferem uma maneira mais discreta de comunicação, incitando suas vítimas a contatá-los por email. Os pagamentos pelo resgate são exigidos em criptomoeda e devem ser enviados para endereços de carteira especificados pelos atores do Play. Caso a vítima se recuse a pagar o resgate, os adversários ameaçam divulgar os dados exfiltrados em seu site de vazamento na rede Tor.
Como medidas de mitigação, os defensores recomendam seguir as melhores práticas de segurança, como implementar autenticação multifatorial, criar regularmente backups offline de dados, estabelecer um plano de recuperação abrangente e assegurar-se de que o sistema e o software estejam sempre atualizados enquanto confiam em patches regulares.
Os operadores do ransomware Play comumente obtêm acesso inicial abusando de contas legítimas e armando vulnerabilidades em instâncias voltadas para o público, tendo um foco especial no FortiOS (CVE-2018-13379 e CVE-2020-12812) e explorações de vulnerabilidade ProxyNotShell . Além disso, eles aproveitam RDP e VPN na fase de acesso inicial.
Para evasão de detecção, o grupo de ransomware Play aplica uma utilidade AdFind e um info-stealer Grixba, além do PowerTool para desabilitar o software anti-vírus e remover arquivos de log. Para facilitar o movimento lateral e a execução de arquivos, os adversários utilizam aplicativos C2, como Cobalt Strike e SystemBC, junto com utilitários como PsExec. Mais adiante, eles empregam o dumper de credenciais Mimikatz para adquirir acesso de administrador de domínio.
Os volumes crescentes de ataques traiçoeiros atribuídos ao grupo de ransomware Play exigem ultra-responsividade das forças de defesa para priorizar a remediação das ameaças. Faça login na Plataforma SOC Prime para equipar sua equipe com mais de 900 peças de conteúdo de detecção para defesa cibernética proativa contra ataques críticos de ransomware de qualquer sofisticação.
