Argentínában is lecsapott a Play ransomware

Leállt az argentin Córdoba város igazságügyi portálja, miután 2022. augusztus 13-án zsarolóvírus támadás érte a bíróság informatikai rendszereit. Jelenleg papíralapon történik az ügyintézés.

Kép forrása: BleepingComputer

A kiszivárgott kibertámadási készenléti tervben az intézmény megerősítette, hogy rendszereiket zsarolóvírustámadás érte, amelynek kivizsgálása a Microsoft-tal, a Cisco-val, a Trend Micro-val, valamint a helyi szakértőkkel együttműködve zajlik. A hivatalos tájékoztatás nem tartalmaz technikai információkat a ransomware-ről, azonban Luis Ernest Zegarra újságíró információi szerint a zsarolóprogram „.play” kiterjesztést fűzött a titkosított fájlok nevei mögé.

Egyelőre nem ismert az sem, hogy az elkövetők, hogyan jutottak be az intézmény informatikai rendszereibe. Bár az alkalmazottak e-mail címeinek listáját egy, a Lapsus$ csoporthoz köthető márciusi adatszivárgással könnyen megszerezhették a támadók, amiket aztán adathalász és egyéb hitelesítőadatok megszerzésére irányuló módszerekhez is felhasználhattak, azonban ez jelenleg csak feltételezés.

Play Ransomware

A Play zsarolóvírus a legtöbb zsarolóvírus támadással szemben –  amelyek során az elkövetők hosszú üzenetet hagyva maguk után kérik a titkosított fájlokért cserébe a váltságdíjat (ransom note) –, a Play Ransomware csupán egy ReadMe.txt fájt hagy hátra a gyökérkönyvtárban (C:\), és abban is csak a PLAY szó szerepel, valamint egy kapcsolattartási e-mail cím.

(bleepingcomputer.com)

A Play Ransomware-rel kapcsolatban – a hazai érintettség miatt – az NBSZ NKI tájékoztatót is kiadott.