گزارش باج افزار Play

باج افزار Play برای اولین بار در سال 2022 مشاهده شد. نام خانواده باج‌افزار از پسوند .play گرفته شده است که پس از رمزگذاری فایل‌ها توسط باج‌افزار به فایل‌ها اضافه می‌شود. گروه باج‌افزار Play که همچنین به عنوان Playcrypt شناخته می‌شود بر طیف گسترده‌ای از کسب‌وکارها در برخی کشورها تأثیر گذاشته است. سازوکار این گروه بر اخاذی چندگانه است، زیرا آنها داده های سازمان های هدف را رمزگذاری می کنند سپس تهدید می کنند که داده ها را در سایت های عمومی مبتنی بر TOR خود ارسال می کنند.

گروه باج‌افزار Play یک گروه بسته فرض می‌شود که برای «تضمین محرمانه بودن معاملات» طراحی شده است. عوامل باج‌افزار از یک مدل اخاذی مضاعف استفاده می‌کنند و سیستم‌ها را پس از استخراج داده‌ها رمزگذاری می‌کنند. یادداشت‌های باج شامل باج‌خواهی اولیه یا دستورالعمل‌های پرداخت نیستند، بلکه به قربانیان دستور داده می‌شود که از طریق ایمیل با عوامل تهدید تماس بگیرند.

دسترسی اولیه

گروه باج‌افزار Play از طریق سوء استفاده از حساب‌های معتبر و بهره‌برداری از برنامه‌های کاربردی عمومی، به‌ویژه از طریق آسیب‌پذیری‌های شناخته‌شده در FortiOS و Microsoft Exchange به شبکه‌های قربانی دسترسی اولیه پیدا می‌کند. نیاز به بروز بودن دو محصول نام برده پیش تر در سازمان اطلاع رسانی شده است. مشاهده شده است که عوامل باج افزار Play از خدمات خارجی مانند پروتکل دسکتاپ از راه دور (RDP) و شبکه های خصوصی مجازی (VPN) برای دسترسی اولیه استفاده می کنند.

استخراج و رمزگذاری

عوامل باج‌افزار Play اغلب داده‌های در معرض خطر را به بخش‌هایی تقسیم می‌کنند و از ابزارهایی مانند WinRAR برای فشرده‌سازی فایل‌ها به فرمت RAR. برای استخراج استفاده می‌کنند. سپس از WinSCP برای انتقال داده ها از یک شبکه در معرض خطر به حساب های تحت کنترل بازیگر استفاده می کنند. پس از استخراج، فایل‌ها با رمزگذاری ترکیبی AES-RSA با استفاده از رمزگذاری متناوب، رمزگذاری می‌شوند و هر بخش دیگر فایل 0x100000 بایتی را رمزگذاری می‌کند. یک پسوند.play به نام فایل ها اضافه می شود و یک یادداشت باج با عنوان ReadMe[.]txt در فهرست فایل C: قرار می گیرد.

توجه: فایل های سیستم در طول فرآیند رمزگذاری حذف می شوند.

تأثیر

گروه باج افزار Play از یک مدل اخاذی مضاعف استفاده می کند که پس از استخراج داده ها، سیستم ها را رمزگذاری می کند. یادداشت باج قربانیان را هدایت می‌کند تا با گروه باج‌افزار Play از طریق آدرس ایمیلی که به @gmx[.]de ختم می‌شود، تماس بگیرند. پرداخت‌های باج از طریق ارز دیجیتال به آدرس‌های کیف پول ارائه‌شده توسط مهاجمان Play پرداخت می‌شود. اگر قربانی از پرداخت درخواست باج امتناع کند، بازیگران باج افزار تهدید می کنند که داده های استخراج شده را در سایت نشت خود در شبکه Tor منتشر می کنند.

راه حل پیشنهادی :

اقدامات کاهشی

به سازمان‌ها توصیه می شود که اقدامات کاهشی زیر را برای محدود کردن استفاده خصمانه احتمالی از تکنیک‌های رایج کشف سیستم و شبکه و کاهش خطر به خطر افتادن باج‌افزار Play اعمال کنند. این اقدامات با اهداف عملکرد امنیت سایبری بین‌بخشی همسو هستند.

  • یک طرح بازیابی را برای نگهداری و نگهداری چندین نسخه از داده‌ها و سرورهای حساس یا اختصاصی در یک مکان فیزیکی جداگانه، بخش‌بندی شده و ایمن به عنوان مثال، هارد دیسک، دستگاه ذخیره‌سازی، ابر اجرا کنید.
  • احراز هویت چند عاملی برای همه سرویس‌ها تا حد امکان لازم است، به ویژه برای ایمیل‌های اینترنتی، شبکه‌های خصوصی مجازی، و حساب‌هایی که به سیستم‌های حیاتی دسترسی دارند.
  • همه سیستم عامل ها، نرم افزارها و سیستم عامل ها را به روز نگه دارید. انجام به موقع وصله یکی از کارآمدترین و مقرون به صرفه ترین گام هایی است که یک سازمان می تواند برای به حداقل رساندن قرار گرفتن در معرض تهدیدات امنیت سایبری بردارد. اصلاح آسیب‌پذیری‌های مورد سوء استفاده شناخته شده در سیستم‌های رو به اینترنت را در اولویت قرار دهید. به سازمان‌ها توصیه می‌شود آخرین به‌روزرسانی‌های امنیتی Microsoft Exchange را مستقر کنند. اگر قادر به انجام وصله نیستید، Outlook Web Access (OWA) را تا زمانی که به روز رسانی انجام شود غیرفعال کنید.
  • برای جلوگیری از گسترش باج افزار، شبکه ها را تقسیم بندی کنید. تقسیم‌بندی شبکه می‌تواند با کنترل جریان‌های ترافیک بین و دسترسی به زیرشبکه‌های مختلف و با محدود کردن حرکت جانبی دشمن به جلوگیری از گسترش باج‌افزار کمک کند.
  • شناسایی و بررسی فعالیت غیرعادی و پیمایش احتمالی باج افزار مشخص شده با ابزار نظارت شبکه. برای کمک به شناسایی باج‌افزار، ابزاری را پیاده‌سازی کنید که تمام ترافیک شبکه، از جمله فعالیت‌های حرکت جانبی در شبکه را ثبت و گزارش می‌کند. ابزارهای تشخیص و پاسخ نقطه پایانی (EDR) به ویژه برای تشخیص اتصالات جانبی مفید هستند، زیرا بینشی نسبت به اتصالات شبکه رایج و غیر معمول برای هر میزبان دارند.
  • با جلوگیری از دسترسی منابع ناشناخته یا نامعتبر به خدمات راه دور در سیستم‌های داخلی، ترافیک شبکه را فیلتر کنید. این امر مانع از اتصال مستقیم مهاجمان به سرویس‌های دسترسی راه دوری می‌شود که برای تداوم ایجاد کرده‌اند.
  • نصب، به‌روزرسانی منظم و فعال کردن شناسایی بلادرنگ برای نرم‌افزار آنتی‌ویروس روی همه میزبان‌ها.
  • کنترل‌کننده‌های دامنه، سرورها، ایستگاه‌های کاری و دایرکتوری‌های فعال را برای حساب‌های جدید و/یا ناشناس بررسی کنید.
  • حساب‌های کاربری با امتیازات مدیریتی را حسابرسی کنید و کنترل‌های دسترسی را بر اساس اصل حداقل امتیاز پیکربندی کنید.
  • پورت های استفاده نشده را غیرفعال کنید.
  • به ایمیل های دریافتی از خارج از سازمان خود یک بنر ایمیل اضافه کنید.
  • هایپرلینک ها را در ایمیل های دریافتی غیرفعال کنید.
  • دسترسی مبتنی بر زمان را برای حساب های تنظیم شده در سطح سرپرست و بالاتر پیاده سازی کنید. به عنوان مثال، روش دسترسی به موقع (JIT) دسترسی ممتاز را در صورت نیاز فراهم می کند و می تواند از اجرای اصل حداقل امتیاز (و همچنین مدل Zero Trust) پشتیبانی کند. این فرآیندی است که در آن یک خط‌مشی در سراسر شبکه تنظیم می‌شود تا به‌طور خودکار حساب‌های مدیریت را در سطح اکتیو دایرکتوری غیرفعال کند، زمانی که حساب مورد نیاز مستقیم نیست. کاربران فردی ممکن است درخواست های خود را از طریق یک فرآیند خودکار ارسال کنند که به آنها امکان دسترسی به یک سیستم مشخص برای یک بازه زمانی مشخص را می دهد، زمانی که نیاز به پشتیبانی از تکمیل یک کار خاص دارند.
  • فعالیت ها و مجوزهای خط فرمان و اسکریپت را غیرفعال کنید. افزایش امتیاز و حرکت جانبی اغلب به ابزارهای نرم افزاری که از خط فرمان اجرا می شوند بستگی دارد. اگر عوامل تهدید نتوانند این ابزارها را اجرا کنند، در افزایش امتیازات و/یا حرکت جانبی مشکل خواهند داشت.
  • پشتیبان‌گیری آفلاین از داده‌ها را حفظ کنید و به طور منظم پشتیبان‌گیری و بازیابی را حفظ کنید. با ایجاد این روش، یک سازمان تضمین می‌کند که آنها به شدت قطع نمی‌شوند و/یا فقط داده‌های غیرقابل بازیابی دارند.
  • اطمینان حاصل کنید که داده‌های پشتیبان رمزگذاری شده، غیرقابل تغییر هستند یعنی قابل تغییر یا حذف نیستند و کل زیرساخت داده سازمان را پوشش می‌دهد.
  • همه حساب‌های دارای ورودهای با رمز عبور مانند حساب سرویس، حساب‌های سرپرست و حساب‌های سرپرست دامنه را ملزم کنید تا با استانداردهای امنیتی برای توسعه و مدیریت خط‌مشی‌های گذرواژه مطابقت داشته باشند.

پیش تر گزارشی برای انتخاب رمز عبور قوی در سازمان اطلاع رسانی شده است.

  • استفاده از رمزهای عبور طولانی‌تر شامل حداقل 8 کاراکتر و طول آن بیش از 64 کاراکتر.
  • ذخیره رمزهای عبور در قالب هش شده با استفاده از ابزار مدیریت رمز عبور شناخته شده در صنعت.
  • اضافه کردن رمز عبور کاربر “salts” به اعتبارنامه های مشترک ورود.
  • از استفاده مجدد از رمزهای عبور خودداری کنید.
  • اجرای چندین قفل حساب تلاش برای ورود ناموفق.
  • غیرفعال کردن رمز عبور “Hints”؛
  • از تغییر رمز عبور بیشتر از یک بار در سال خودداری کنید.
  • توجه: پیشنهاد می شود به جای نیاز به بازنشانی منظم و مکرر رمز عبور، از گذرواژه های طولانی تر استفاده کنید. بازنشانی مکرر رمز عبور به احتمال زیاد منجر به ایجاد الگوهای رمز عبور توسط کاربران می شود که مجرمان سایبری به راحتی می توانند آن را رمزگشایی کنند.
  • نیاز به اعتبار مدیر برای نصب نرم‌افزار.
مطالب مرتبط
لینک‌های سریع
شرکت‌های زیر مجموعه
ارتباط با ما
شبکه‌های اجتماعی
Linkedin

تمامی حقوق برای شرکت توسعه فناوری اطلاعات گردشگری محفوظ است © ۱۴۰۱