图片来源:Glassdoor

前情回顾·司法系统网络安全

安全内参8月16日消息,南美洲阿根廷科尔多瓦司法机构因勒索软件攻击而被迫关闭IT系统,据爆料此次攻击是新近出现的Play勒索软件所为。

这次攻击发生在上周六(8月13日),迫使当地司法机构关闭了其IT系统及在线门户服务中断期间,只能依靠传统纸面形式提交官方文件

据阿根廷新闻媒体Cadena 3发布的“网络攻击应急计划”显示,科尔多瓦司法机构证实曾遭受勒索软件攻击,并已经与微软、思科、趋势科技及当地专家共同开展事件调查。

经谷歌翻译理解,报道中提到“2022年8月13日星期六,科尔多瓦法院的技术基础设施遭受网络攻击,IT服务受勒索软件影响而无法正常运转。”

阿根廷新闻媒体Clarín 也提到,有消息人士称,此次攻击影响到司法机构的IT系统及数据库,这是该国“历史上针对公共机构的最严重攻击活动”

图:科尔多瓦司法机构网站已经中断

攻击方系Play勒索软件

虽然司法机构尚未披露此次攻击的更多细节,但记者Luis Ernest Zegarra已经在推特上表示,他们受到的是以“.Play”为扩展名实施文件加密的勒索软件攻击

该扩展名与2022年6月新出现的“Play”勒索软件有关,当时首批受害者曾在BleepingComputer论坛上描述过攻击情形。

与其他勒索软件攻击一样,Play恶意黑客同样先入侵网络、再加密设备。而在加密文件时,该勒索软件会添加.PLAY扩展名,如下图所示。

图:被Play勒索软件加密的文件

但与大多数留下冗长勒索说明、向受害者施压要挟的其他勒索软件不同,“Play”属于典型的“人狠话不多”。

“Play”的ReadMe.txt勒索说明不会遍布每个文件夹,而仅仅只放在磁盘驱动器的根目录(C:\\\\)下。内容也非常简洁,只有“PLAY”单词与联系邮件地址。

图:Play勒索说明示例

外媒BleepingComputer获悉,Play团伙会使用多个不同联络邮件地址,所以上图地址可能跟科尔多瓦司法机构攻击事件无关。

目前还不清楚Play团伙是如何入侵司法机构网络的。但在今年3月Lapsus$入侵Globant事件当中,曾有司法部门的员工遭遇邮件地址列表泄露也许Play团伙是借此实施网络钓鱼攻击,进而窃取到登录凭证

目前暂时没有发现该勒索软件团伙实施数据泄露,或数据在攻击期间被盗的迹象。

这已经不是阿根廷政府机构第一次遭受勒索软件攻击。早在2020年9月,Netwalker勒索软件团伙就袭击了阿根廷官方移民局 Dirección Nacional de Migraciones,并开价索取400万美元赎金。

参考资料:https://www.bleepingcomputer.com/news/security/argentinas-judiciary-of-c-rdoba-hit-by-play-ransomware-attack/

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。