信息來源:安全內(nèi)參
圖片來源:Glassdoor
前情回顧·司法系統(tǒng)網(wǎng)絡安全
安全內(nèi)參8月16日消息��,南美洲阿根廷科爾多瓦司法機構(gòu)因勒索軟件攻擊而被迫關閉IT系統(tǒng)�����,據(jù)爆料此次攻擊是新近出現(xiàn)的Play勒索軟件所為�。
這次攻擊發(fā)生在上周六(8月13日)��,迫使當?shù)厮痉C構(gòu)關閉了其IT系統(tǒng)及在線門戶�。服務中斷期間,只能依靠傳統(tǒng)紙面形式提交官方文件�����。
據(jù)阿根廷新聞媒體Cadena 3發(fā)布的“網(wǎng)絡攻擊應急計劃”顯示���,科爾多瓦司法機構(gòu)證實曾遭受勒索軟件攻擊��,并已經(jīng)與微軟���、思科��、趨勢科技及當?shù)貙<夜餐_展事件調(diào)查����。
經(jīng)谷歌翻譯理解�����,報道中提到“2022年8月13日星期六��,科爾多瓦法院的技術基礎設施遭受網(wǎng)絡攻擊����,IT服務受勒索軟件影響而無法正常運轉(zhuǎn)�。”
阿根廷新聞媒體Clarín 也提到��,有消息人士稱���,此次攻擊影響到司法機構(gòu)的IT系統(tǒng)及數(shù)據(jù)庫�����,這是該國“歷史上針對公共機構(gòu)的最嚴重攻擊活動”����。
圖:科爾多瓦司法機構(gòu)網(wǎng)站已經(jīng)中斷
攻擊方系Play勒索軟件
雖然司法機構(gòu)尚未披露此次攻擊的更多細節(jié),但記者Luis Ernest Zegarra已經(jīng)在推特上表示��,他們受到的是以“.Play”為擴展名實施文件加密的勒索軟件攻擊����。
該擴展名與2022年6月新出現(xiàn)的“Play”勒索軟件有關,當時首批受害者曾在BleepingComputer論壇上描述過攻擊情形�。
與其他勒索軟件攻擊一樣,Play惡意黑客同樣先入侵網(wǎng)絡��、再加密設備�。而在加密文件時,該勒索軟件會添加.PLAY擴展名�,如下圖所示。
圖:被Play勒索軟件加密的文件
但與大多數(shù)留下冗長勒索說明���、向受害者施壓要挾的其他勒索軟件不同���,“Play”屬于典型的“人狠話不多”。
“Play”的ReadMe.txt勒索說明不會遍布每個文件夾���,而僅僅只放在磁盤驅(qū)動器的根目錄(C:\\)下�。內(nèi)容也非常簡潔,只有“PLAY”單詞與聯(lián)系郵件地址���。
圖:Play勒索說明示例
外媒BleepingComputer獲悉����,Play團伙會使用多個不同聯(lián)絡郵件地址�����,所以上圖地址可能跟科爾多瓦司法機構(gòu)攻擊事件無關�。
目前還不清楚Play團伙是如何入侵司法機構(gòu)網(wǎng)絡的。但在今年3月Lapsus$入侵Globant事件當中�����,曾有司法部門的員工遭遇郵件地址列表泄露����。也許Play團伙是借此實施網(wǎng)絡釣魚攻擊��,進而竊取到登錄憑證���。
目前暫時沒有發(fā)現(xiàn)該勒索軟件團伙實施數(shù)據(jù)泄露����,或數(shù)據(jù)在攻擊期間被盜的跡象。
這已經(jīng)不是阿根廷政府機構(gòu)第一次遭受勒索軟件攻擊���。早在2020年9月�����,Netwalker勒索軟件團伙就襲擊了阿根廷官方移民局 Dirección Nacional de Migraciones��,并開價索取400萬美元贖金�����。
參考資料:bleepingcomputer.com
