Tájékoztatás PLAY ransomware-rel kapcsolatban

Tisztelt Ügyfelünk!

A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet (NBSZ NKI) tájékoztatót ad ki a PLAY ransomware-rel kapcsolatban. A hazai partnerektől származó információk alapján a zsarolóvírus elsődleges célpontja a kis- és középvállalatok.

A PLAY ransomware működése:

A számítógépen tárolt adatfájlok titkosítása után az említett „.txt” formátum mellett egy „.play” kiterjesztésű adatfájl, valamint egy másik szöveges dokumentum is létrejön a felhasználó asztalán, ami egy e-mail címet tartalmaz.

A zsarolóvírus viszonylag agresszívan terjed belső hálózaton, miután az internetről nyitott SSH, RDP vagy FTP kapcsolaton keresztül betöltődik az adott rendszerbe, illetve nem megfelelő védelemmel ellátott, gyenge jelszóval védett szolgáltatásokat vesz célpontba, amikbe beletartoznak a webszerverek, az OWA és az Exchange kiszolgáló rendszerei. A rendszer infekciója a jellemzően e-mail csatolmányban elhelyezett gyanús fájlon keresztül vagy az internetről letöltött nem hivatalos oldalról beszerzett ismert programcsomaggal történik meg (Skype, Teams, Chrome, Firefox…).

Az elsődleges információk alapján a fertőzés elsősorban Microsoft Office és Open Office dokumentumokat, PDF és TXT fájlokat, adatbázis fájlokat, valamint fotó, zene és videófájlokat enkriptál. A fertőzött állományt az asztali ikonokon kívül a \Desktop\ -> \User_folders\ -> \%TEMP%\ -> könyvtáron belül helyezi el a kártevő programkód.

Biztonsági szempontból elsődleges feladat, hogy a vírussal detektált és megfertőzött számítógépet minél előbb izolálják a hálózatról, ezzel megelőzve a kártevő további terjedését. A nagyobb vírusdetektáló cégek még nem adtak ki megfelelő eszközt a vírus visszafejtéséhez, ezért a titkosított adatokat jelenleg nem lehet dekódolni.

A nevezett ransomware vizsgálatát követően megállapítást nyert, hogy a zsarolóvírust több vírusvédelmi rendszer is már ismeri, ezért annak használatát javasoljuk.

Jelenleg az esettel összefüggésbe hozható rendelkezésre álló indikátor:

sha256: 7d14b98cdc1b898bd0d9be80398fc59ab560e8c44e0a9dedac8ad4ece3d450b0

Biztonsági incidens bekövetkezése esetén az NBSZ NKI javasolja:

  • Az érintett eszköz hálózatról történő leválasztását.
  • Az érintett adathordozók helyreállítása előtt bitazonos másolat készítését.
  • Incidens bejelentését az NBSZ NKI részére a CSIRT@nki.gov.hu e-mail címen.

 

Hivatkozások:

 

A tájékoztató szövege letölthető pdf formátumban.


Legfrissebb sérülékenységek
CVE-2018-14933 – NUUO NVRmini Devices OS Command Injection sebezhetősége
CVE-2019-11001 – Reolink Multiple IP Cameras OS Command Injection sebezhetősége
CVE-2021-40407 – Reolink RLC-410W IP Camera OS Command Injection sebezhetősége
CVE-2024-20767 – Adobe ColdFusion Improper Access Control sebezhetősége
CVE-2024-55956 – Cleo Multiple Products Unauthenticated File Upload sebezhetősége
CVE-2024-50623 – Cleo Multiple Products Unrestricted File Upload sebezhetősége
CVE-2024-49138 – Windows Common Log File System Driver Elevation of Privilege sebezhetősége
CVE-2024-11639 – Ivanti CSA sérülékenysége
CVE-2024-42449 – Veeam Service Provider Console sérülékenysége
CVE-2024-42448 – Veeam Service Provider Console sérülékenysége
Tovább a sérülékenységekhez »