Allarme ransomware Play: 300 entità colpite, incluse infrastrutture critica

Il Federal Bureau of Investigation (FBI), insieme al Cybersecurity and Infrastructure Security Agency (CISA) e al centro per la sicurezza cibernetica australiano Australian Signals Directorate (ASD's ACSC), ha lanciato un avvertimento riguardante l'attività del gruppo cybercriminale denominato Play ransomware. Tale gruppo è stato responsabile di violazioni informatiche contro circa 300 organizzazioni su scala globale tra giugno 2022 e ottobre 2023, coinvolgendo anche enti di infrastruttura critica. Fin dal loro debutto nel giugno 2022, gli attori della minaccia hanno dimostrato un metodo operativo diverso rispetto agli standard per la comunicazione post-intrusione, preferendo l'uso di email anziché l'istituzione di pagine anonimizzate tramite Tor per la negoziazione dei riscatti.

Modalità operative e obiettivi di Play

Questo gruppo criminale agisce rubando documenti sensibili dai sistemi informatici violati prima del lancio dell'attacco ransomware, usando tali dati come leva per costringere le vittime al pagamento del riscatto, minacciando la divulgazione online. Tra gli strumenti utilizzati, si segnala uno dedicato alla copia di shadow volume copies, consentendo il furto di file anche in presenza di lock a livello di sistema operativo. Vittime di rilievo recenti includono la città di Oakland in California, la catena di rivenditori di automobili Arnold Clark, l'impresa di cloud computing Rackspace e la città belga di Anversa.

Come difendersi da Play

Le agenzie coinvolte consigliano alle organizzazioni di meditare sull'attuazione di specifiche strategie difensive, a partire dal rafforzamento della vulnerabilità note e frequentemente sfruttate per mitigare la probabilità di cadere vittima degli attacchi orchestrati dal ransomware Play. Essenziale è anche l'adozione di autenticazione multifattore (MFA), in particolare per quei servizi critici come webmail, reti VPN e account privilegiati, assieme a regolari aggiornamenti software e a una strategia proattiva di valutazione delle proprie vulnerabilità.

Misure di mitigazione e aggiornamenti di sicurezza

Ulteriori misure per attenuare le conseguenze di un eventuale attacco e per ridurne la probabilità includono il mantenimento di backup offline dei dati, l'implementazione di piani di ripristino e l'aggiornamento sistematico di sistemi operativi, software e firmware. Il FBI, CISA e ASD's ACSC sollecitano l'implementazione delle raccomandazioni espresse nella sezione delle mitigazioni del loro avviso congiunto, al fine di consolidare la resilienza delle infrastrutture informatiche contro gli incidenti relativi al ransomware.