L’Oficina Federal d’Investigacions (FBI) diu que la banda de programari de segrest Play ha vulnerat aproximadament 300 organitzacions a tot el món entre el juny de 2022 i l’octubre de 2023, algunes d’elles entitats d’infraestructura crítica.

L’avís arriba com una advertència conjunta emesa en col·laboració amb CISA i el Centre de Seguretat Cibernètica d’Austràlia de la Direcció de Senyals d’Austràlia (ACSC d’ASD).

“Des del juny de 2022, el grup de programari de segrest Play (també conegut com a Playcrypt) ha afectat un ampli ventall d’empreses i infraestructures crítiques a Amèrica del Nord, Amèrica del Sud i Europa”, han advertit avui les tres agències governamentals.

“L’octubre de 2023, l’FBI tenia coneixement d’unes 300 entitats afectades i suposadament explotades pels actors del programari de segrest”.

L’operatiu de programari de segrest Play va aparèixer el juny de 2022, després que les primeres víctimes demanessin ajuda als fòrums de BleepingComputer.

A diferència de les operacions de programari de segrest típiques, els afiliats de la banda de programari de segrest Play opten per la comunicació per correu electrònic com a canal de negociació i no proporcionaran a les víctimes un enllaç de la pàgina de negociacions Tor per accedir a les notes de rescat deixades en sistemes compromesos.

No obstant això, abans d’implementar el programari de segrest, robaran documents confidencials dels sistemes compromesos, que utilitzen per pressionar les víctimes perquè paguin demandes de rescat sota l’amenaça de filtrar les dades robades en línia.

La banda també està utilitzant una eina de còpia VSS personalitzada que ajuda a robar fitxers de les còpies instantànies fins i tot quan aquests fitxers els fan servir les aplicacions.

Entre les víctimes recents de perfil alt del programari de segrest de Play hi trobem l’Ajuntament d’Oakland a Califòrnia, el gegant detallista d’automòbils Arnold Clark, l’empresa d’informàtica al núvol Rackspace i l’ajuntament de la ciutat belga d’Anvers.

A la guia emesa avui per l’FBI, CISA i l’ACSC d’ASD, es demana a les organitzacions que prioritzin abordar les vulnerabilitats conegudes que s’han explotat per reduir la seva probabilitat que es facin servir en atacs de la banda Play de programari de segrest.

També es recomana als defensors de la xarxa que implementin l’autenticació multifactor (MFA) a tots els serveis, sobretot al correu web, la VPN i els comptes amb accés a sistemes crítics.

A més, també haurien de formar part de les pràctiques de seguretat estàndard de totes les organitzacions: l’actualització periòdica; l’aplicació de pedaços de programari i aplicacions a les seves versions més recents; i les avaluacions rutinàries de vulnerabilitats.

Les tres agències governamentals també aconsellen als equips de seguretat que implementin les mesures de mitigació compartides amb l’avís conjunt d’avui.

“L’FBI, CISA i l’ACSC d’ASD animen les organitzacions a implementar les recomanacions de l’apartat Mitigacions d’aquest CSA per reduir la probabilitat i l’impacte dels incidents de programari de segrest”, van dir les agències.

“Això inclou requerir una autenticació multifactorial, mantenir còpies de seguretat fora de línia de les dades, implementar un pla de recuperació i mantenir tots els sistemes operatius, programari i microprogramari actualitzats”.