Le Federal Bureau of Investigation (FBI) affirme que le gang du ransomware Play a piraté environ 300 organisations dans le monde entre juin 2022 et octobre 2023, dont certaines étaient des entités d'infrastructures critiques.
L'avertissement fait partie d'un avis conjoint publié en partenariat avec la CISA et l'Australian Cyber Security Centre (ACSC de l'ASD) de la Direction australienne des signaux.
« Depuis juin 2022, le groupe de ransomware Play (également connu sous le nom de Playcrypt) a touché un large éventail d'entreprises et d'infrastructures critiques en Amérique du Nord, en Amérique du Sud et en Europe », indiquent les trois agences gouvernementales. mis en garde aujourd'hui.
« En octobre 2023, le FBI avait connaissance d'environ 300 entités concernées qui auraient été exploitées par les acteurs du ransomware. »
L'opération du ransomware Play a fait surface en juin 2022, après que les premières victimes ont demandé de l'aide sur les forums de BleepingComputer.
Contrairement aux opérations typiques de ransomware, les affiliés du ransomware Play optent pour la communication par courrier électronique comme canal de négociation et ne fourniront pas aux victimes un lien vers la page de négociation Tor dans les notes de rançon laissées sur les systèmes compromis.
Néanmoins, avant de déployer un ransomware, ils volent des documents sensibles sur des systèmes compromis, qu'ils utilisent pour faire pression sur les victimes afin qu'elles paient les demandes de rançon sous la menace de fuite des données volées en ligne.
Le gang utilise également un outil de copie VSS personnalisé qui permet de voler des fichiers à partir de copies de volume instantané, même lorsque ces fichiers sont utilisés par des applications.
Parmi les récentes victimes très médiatisées du ransomware Play figurent la ville d'Oakland en Californie, le géant du détaillant automobile Arnold Clark, la société de cloud computing Rackspace et la ville belge d'Anvers.
Dans les directives publiées aujourd'hui par le FBI, la CISA et l'ACSC de l'ASD, les organisations sont invitées à traiter en priorité les vulnérabilités connues qui ont été exploitées afin de réduire leur probabilité d'être utilisées dans des attaques de ransomware Play.
Il est également fortement conseillé aux défenseurs des réseaux de mettre en œuvre l'authentification multifacteur (MFA) sur tous les services, en se concentrant sur la messagerie Web, le VPN et les comptes ayant accès aux systèmes critiques.
De plus, la mise à jour régulière et l'application de correctifs aux logiciels et applications vers leurs versions les plus récentes ainsi que les évaluations régulières des vulnérabilités devraient faire partie des pratiques de sécurité standard de toutes les organisations.
Les trois agences gouvernementales conseillent également aux équipes de sécurité de mettre en œuvre les mesures d'atténuation partagées avec l'avis conjoint d'aujourd'hui.
« Le FBI, la CISA et l'ACSC de l'ASD encouragent les organisations à mettre en œuvre les recommandations de la section Atténuations de ce CSA afin de réduire la probabilité et l'impact des incidents de ransomware », ont déclaré les agences.
« Cela inclut l'exigence d'une authentification multifacteur, la maintenance de sauvegardes de données hors ligne, la mise en œuvre d'un plan de récupération et la mise à jour de tous les systèmes d'exploitation, logiciels et micrologiciels. »