ФБР: хакеры-вымогатели из Play атаковали 300 компаний, включая и критически важные организации

Федеральное бюро расследований сообщило, что в период с июня 2022 года по октябрь 2023 года хакерская группировка вымогателей Play смогла успешно скомпрометировать внутреннюю IT-инфраструктуру свыше 300 различных организаций из разных стран мира. Некоторые из этих организаций являются объектами критической инфраструктуры в своих странах, сообщило накануне издание Bleeping Computer.

Специалисты по информационной безопасности ФБР заявили, что хакерская группировка Play, которая также известна под названием PlayCrypt, атаковала огромное количество предприятий и организаций критически важной инфраструктуры, преимущественно в Северной и Южной Америке, а также в Европе.

Атаки этой хакерской группировки с применением программ вымогательского программного обеспечения впервые были зарегистрированы профильными компаниями по информационной безопасности в июне 2022 года, после того как соответствующие сообщения от первых жертв стали появляться на профильных форумах и в средствах массовой информации.

В отличие от типичных операций с программами-вымогателями, филиалы Play, занимающиеся вымогательством, выбирают общение по электронной почте в качестве канала переговоров и не предоставляют жертвам ссылку на страницу переговоров Tor в заметках о выкупе, оставленных на скомпрометированных системах.

Вместе с этим, прежде чем внедрить программу-вымогатель, хакеры Play крадут конфиденциальные документы из скомпрометированных ИТ-систем, которые они используют, чтобы заставить жертв заплатить выкуп под угрозой утечки украденных данных в Интернет. Группа также использует специальный инструмент копирования VSS, который помогает украсть файлы из теневых копий томов, даже если эти файлы используются приложениями.

Недавние известные жертвы программы-вымогателя Play: город Окленд в Калифорнии, гигант по продаже автомобилей Arnold Clark, компания облачных вычислений Rackspace и бельгийский город Антверпен.

В рекомендациях, опубликованных сегодня ФБР, CISA и ACSC ASD, организациям советуется уделять первоочередное внимание устранению известных уязвимостей, которые используются хакерами-вымогателями из Play для получения первоначального доступа к целевым системам.