FBI发布安全提醒:Play勒索软件已感染全球300多个组织
source link: https://www.51cto.com/article/777090.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
FBI发布安全提醒:Play勒索软件已感染全球300多个组织
Play勒索软件组织,又被称为Playcrypt,从2022年6月以来一直持续攻击并影响了全球超过300家企业组织以及重要的网络基础设施。日前,美国联邦调查局(FBI)、网络安全与基础设施安全局(CISA)和澳大利亚网络安全中心(ASD's ACSC)联合发布了一份安全提醒公告,要求企业组织加强对Play勒索软件组织的防护,并给出了相关的防护建议。
据了解,Play 勒索软件攻击事件最早是在今年 4 月被发现,而最近一次被曝光则是在不久前的11月份,目前累计受害企业数量已经超过300家。尽管Play勒索软件组织的地下数据泄漏网站显示,为了“保证交易的保密性”,网站处于非开放状态。但调查人员发现,使用Play勒索软件的威胁行为者通常会采用双重勒索策略,并在未满足赎金要求时非法公开或出售受害企业的数据。
Play 勒索软件攻击者首先通过 Microsoft Exchange(ProxyNotShell [CVE-2022-4 1040 和 CVE-2022-41082])和 FortiOS(CVE-2018-13379 和 CVE-2020-12812)中的已知漏洞来获取受害者计算机访问权限,然后加密数据。在对受害企业的初始通知中并不包括赎金要求和付款说明,受害者被告知向攻击者发送电子邮件进行进一步的联系。
值得注意的是,大多数的Play勒索软件是利用组织面向外部的服务,如虚拟专用网络(VPN)和远程桌面协议(RDP)获得访问权限。Play勒索软件攻击者也会使用 AdFind 等工具来执行 Active Directory 查询,并使用信息窃取程序 Grixba 来枚举网络信息并扫描防病毒软件。此外,还利用 GMER、IOBit 和 PowerTool 等工具来删除日志文件并禁用防病毒软件。
为了减轻Play勒索软件爆发的可能性和影响,FBI在公告中建议企业组织实施以下缓解措施:
- 尽快修复已知的可被利用漏洞;
- 尽可能为所有服务启用多重身份验证 (MFA),特别是针对 Webmail、VPN 和访问关键系统的使用账户;
- 及时修补和更新软件应用程序到最新版本,并定期进行漏洞评估。
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK