اداره تحقیقات فدرال آمریکا (FBI) در بهروزرسانی مشترک با آژانس امنیت سایبری آمریکا (CISA) و مرکز امنیت سایبری استرالیا اعلام کرد که گروه باجافزار Play تا ماه می ۲۰۲۵ حدود ۹۰۰ سازمان را هک کرده است. این رقم سه برابر تعداد قربانیان گزارش شده در اکتبر ۲۰۲۳ است.
FBI هشدار داد: “از ژوئن ۲۰۲۲، گروه باجافزار Play که با نام Playcrypt نیز شناخته میشود، طیف گستردهای از کسبوکارها و زیرساختهای حیاتی در آمریکای شمالی، آمریکای جنوبی و اروپا را تحت تأثیر قرار داده است. این گروه در سال ۲۰۲۴ یکی از فعالترین گروههای باجافزار بود.”
ویژگیهای منحصر به فرد حملات Play
این گروه در هر حمله از بدافزار بازکامپایل شده استفاده میکند که تشخیص و مسدود کردن آن را برای راهحلهای امنیتی دشوارتر میسازد. برخی قربانیان از طریق تماس تلفنی تهدید شدهاند که در صورت عدم پرداخت باج، دادههای سرقت شده آنها به صورت آنلاین منتشر خواهد شد.
از ابتدای سال جاری، دلالان دسترسی اولیه مرتبط با اپراتورهای Play چندین آسیبپذیری (CVE-2024-57726، CVE-2024-57727 و CVE-2024-57728) را در ابزار نظارت و مدیریت از راه دور برای حملات اجرای کد از راه دور علیه سازمانهای آمریکایی مورد سوءاستفاده قرار دادهاند.
نحوه عملکرد گروه Play
گروه باجافزار Play تقریباً سه سال پیش ظاهر شد و اولین قربانیان در ژوئن ۲۰۲۲ برای کمک به انجمنهای BleepingComputer مراجعه کردند. قبل از استقرار باجافزار در شبکههای قربانیان، وابستگان Play اسناد حساس را از سیستمهای آسیبدیده میدزدند و از آنها برای تحت فشار قرار دادن قربانیان استفاده میکنند.
برخلاف سایر عملیات باجافزار، Play از ایمیل به عنوان کانال مذاکره استفاده میکند و لینک صفحه مذاکرات Tor را در اختیار قربانیان قرار نمیدهد. این گروه همچنین از یک ابزار سفارشی VSS Copying استفاده میکند که به سرقت فایلها از کپیهای حجم سایه کمک میکند، حتی زمانی که توسط برنامههای دیگر استفاده میشوند.
قربانیان برجسته
قربانیان برجسته Play شامل شرکت رایانش ابری Rackspace، شهر اوکلند در کالیفرنیا، شهرستان دالاس، غول خردهفروشی خودرو Arnold Clark، شهر آنتورپ بلژیک و اخیراً زنجیره دونات Krispy Kreme و تأمینکننده نیمههادی آمریکایی Microchip Technology میشوند.
توصیههای امنیتی
FBI، CISA و مرکز امنیت سایبری استرالیا به تیمهای امنیتی توصیه میکنند:
• سیستمها، نرمافزارها و سفتافزارهای خود را بهروز نگه دارند تا احتمال سوءاستفاده از آسیبپذیریهای وصله نشده کاهش یابد
• احراز هویت چندعاملی (MFA) را در تمام سرویسها، بهویژه VPN، وبمیل و حسابهای دارای دسترسی به سیستمهای حیاتی پیادهسازی کنند
• پشتیبانگیری آفلاین از دادهها را حفظ کنند و یک روال بازیابی را به عنوان بخشی از شیوههای امنیتی استاندارد سازمان توسعه دهند و آزمایش کنند
با افزایش سه برابری قربانیان Play در کمتر از دو سال، سازمانها باید اقدامات امنیتی خود را تقویت کنند تا از هدف قرار گرفتن توسط این گروه باجافزار فعال جلوگیری کنند.
کلمات کلیدی : باجافزار Play, گروه باجافزار, امنیت سایبری, حملات سایبری, FBI, آسیبپذیری
نظر شما چیست؟
خوشحال میشویم نظر شما را بدانیم. نظری بنویسید.