A Play zsarolóvírus (más néven PlayCrypt) egy új zsarolóprogram, amely 2022 júniusában fedeztek fel először. A Play zsarolóvírussal folytatott támadások világszerte folyamatosan szedik az áldozataikat. A Play a közelmúltban azzal került be a hírekbe, hogy segítségével megtámadták az argentin Cordobai Igazságügyi Minisztériumot és a német „H-Hotels” szállodaláncot, továbbá Antwerpen város informatikája és a Rackspace is áldozatul esett ilyen támadásnak. A Play támadásai a latin-amerikai régió szervezeteire összpontosítanak - Brazília az elsődleges célpontjuk. Indiában, Magyarországon, Spanyolországban és Hollandiában is megfigyelték ezeket a támadások végrehajtásában. A Cobalt Strike által kompromittálódott célpontokat, illetve nemrég kezdték el kihasználni a Microsoft Exchange ProxyNotShell sebezhetőségeit is. A csoport taktikája és technikái hasonlóak a Hive és a Nokoyawa zsarolóvírus-csoportokhoz, ami a kutatók szerint arra enged következtetni, hogy a Play-t ugyanazok az emberek működtetik. Vessünk egy pillantást a Play ransomware-re, taktikáikra és technikáikra, valamint arra, hogy a szervezetek hogyan védekezhetnek az ilyen típusú fenyegető szereplők ellen.
Zsarolóvírus (ransomware) olyan kártékony szoftver, amelynek célja valamilyen módon „túszul ejteni” a felhasználók informatikai eszközein tárolt adatait, amelyek visszaszerzéséhez váltságdíj megfizetését kéri a támadó. A ransomware támadások általános jellemzői:
állományok titkosítása,
zsaroló üzenet (ransomnote),
határidő a váltságdíj kifizetésére,
állományok egy részének törlése.
Hogyan történik a fertőzés?
A leggyakoribb fertőzési módok között szerepel a kéretlen e-mail üzenetek káros csatolmányával, valamint káros weboldalakútján történő fertőzés. Ennek kapcsán meg kell említenünk az online hirdetések szerepét is, mivel sok esetben ezek segítségével ejtik csapdába a felhasználókat. Az is jellemző, hogy a támadók valamely sérülékenységet (pl.: a CVE-2017-0144 számú, lásd WannaCry támadás), hibás konfigurációt (például: gyenge jelszó, RDP) vagy felhasználói mulasztást kihasználva illetéktelenül hozzáférnek egy rendszerhez, amin azután a káros kódot futtatják.
A levelekben a támadók többnyire megtévesztő módon számlákra, hivatalos dokumentumokra hivatkozva próbálják rávenni az áldozatot, hogy nyissa meg a mellékletet ─ amely gyakran egy „.exe”, vagy „.pdf” kiterjesztésű fájl ─, valamint a levélben található hivatkozást. Amennyiben a felhasználó megnyitja a fertőzött állományt, a kód lefut, és céljainak megfelelően titkosítja az elérhető adatokat.
A zsarolóvírusok általában aszimmetrikus titkosító algoritmusokat alkalmaznak, amelyek nehezen törhetőek, ezért általában csak abban az esetben van mód az állományok visszafejtésére, amennyiben a vírus készítői programozási hibát vétettek, vagy önként nyilvánosságra hozzák a dekriptáláshoz szükséges mester kulcsot (lásd: TeslaCrypt esetében).
