信息來(lái)源:安全內(nèi)參
圖片來(lái)源:Glassdoor
前情回顧·司法系統(tǒng)網(wǎng)絡(luò)安全
安全內(nèi)參8月16日消息,南美洲阿根廷科爾多瓦司法機(jī)構(gòu)因勒索軟件攻擊而被迫關(guān)閉IT系統(tǒng),據(jù)爆料此次攻擊是新近出現(xiàn)的Play勒索軟件所為。
這次攻擊發(fā)生在上周六(8月13日),迫使當(dāng)?shù)厮痉C(jī)構(gòu)關(guān)閉了其IT系統(tǒng)及在線門戶。服務(wù)中斷期間,只能依靠傳統(tǒng)紙面形式提交官方文件。
據(jù)阿根廷新聞媒體Cadena 3發(fā)布的“網(wǎng)絡(luò)攻擊應(yīng)急計(jì)劃”顯示,科爾多瓦司法機(jī)構(gòu)證實(shí)曾遭受勒索軟件攻擊,并已經(jīng)與微軟、思科、趨勢(shì)科技及當(dāng)?shù)貙<夜餐_(kāi)展事件調(diào)查。
經(jīng)谷歌翻譯理解,報(bào)道中提到“2022年8月13日星期六,科爾多瓦法院的技術(shù)基礎(chǔ)設(shè)施遭受網(wǎng)絡(luò)攻擊,IT服務(wù)受勒索軟件影響而無(wú)法正常運(yùn)轉(zhuǎn)?!?
阿根廷新聞媒體Clarín 也提到,有消息人士稱,此次攻擊影響到司法機(jī)構(gòu)的IT系統(tǒng)及數(shù)據(jù)庫(kù),這是該國(guó)“歷史上針對(duì)公共機(jī)構(gòu)的最嚴(yán)重攻擊活動(dòng)”。
圖:科爾多瓦司法機(jī)構(gòu)網(wǎng)站已經(jīng)中斷
攻擊方系Play勒索軟件
雖然司法機(jī)構(gòu)尚未披露此次攻擊的更多細(xì)節(jié),但記者Luis Ernest Zegarra已經(jīng)在推特上表示,他們受到的是以“.Play”為擴(kuò)展名實(shí)施文件加密的勒索軟件攻擊。
該擴(kuò)展名與2022年6月新出現(xiàn)的“Play”勒索軟件有關(guān),當(dāng)時(shí)首批受害者曾在BleepingComputer論壇上描述過(guò)攻擊情形。
與其他勒索軟件攻擊一樣,Play惡意黑客同樣先入侵網(wǎng)絡(luò)、再加密設(shè)備。而在加密文件時(shí),該勒索軟件會(huì)添加.PLAY擴(kuò)展名,如下圖所示。
圖:被Play勒索軟件加密的文件
但與大多數(shù)留下冗長(zhǎng)勒索說(shuō)明、向受害者施壓要挾的其他勒索軟件不同,“Play”屬于典型的“人狠話不多”。
“Play”的ReadMe.txt勒索說(shuō)明不會(huì)遍布每個(gè)文件夾,而僅僅只放在磁盤驅(qū)動(dòng)器的根目錄(C:\\)下。內(nèi)容也非常簡(jiǎn)潔,只有“PLAY”單詞與聯(lián)系郵件地址。
圖:Play勒索說(shuō)明示例
外媒BleepingComputer獲悉,Play團(tuán)伙會(huì)使用多個(gè)不同聯(lián)絡(luò)郵件地址,所以上圖地址可能跟科爾多瓦司法機(jī)構(gòu)攻擊事件無(wú)關(guān)。
目前還不清楚Play團(tuán)伙是如何入侵司法機(jī)構(gòu)網(wǎng)絡(luò)的。但在今年3月Lapsus$入侵Globant事件當(dāng)中,曾有司法部門的員工遭遇郵件地址列表泄露。也許Play團(tuán)伙是借此實(shí)施網(wǎng)絡(luò)釣魚(yú)攻擊,進(jìn)而竊取到登錄憑證。
目前暫時(shí)沒(méi)有發(fā)現(xiàn)該勒索軟件團(tuán)伙實(shí)施數(shù)據(jù)泄露,或數(shù)據(jù)在攻擊期間被盜的跡象。
這已經(jīng)不是阿根廷政府機(jī)構(gòu)第一次遭受勒索軟件攻擊。早在2020年9月,Netwalker勒索軟件團(tuán)伙就襲擊了阿根廷官方移民局 Dirección Nacional de Migraciones,并開(kāi)價(jià)索取400萬(wàn)美元贖金。
參考資料:bleepingcomputer.com