安全動態(tài)

阿根廷地方司法機構(gòu)遭勒索軟件攻擊:IT系統(tǒng)全部關(guān)閉 被迫紙筆辦公

來源:聚銘網(wǎng)絡(luò)    發(fā)布時間:2022-08-17    瀏覽次數(shù):
 

信息來源:安全內(nèi)參

圖片來源:Glassdoor

前情回顧·司法系統(tǒng)網(wǎng)絡(luò)安全

安全內(nèi)參8月16日消息,南美洲阿根廷科爾多瓦司法機構(gòu)因勒索軟件攻擊而被迫關(guān)閉IT系統(tǒng),據(jù)爆料此次攻擊是新近出現(xiàn)的Play勒索軟件所為。

這次攻擊發(fā)生在上周六(8月13日),迫使當?shù)厮痉C構(gòu)關(guān)閉了其IT系統(tǒng)及在線門戶。服務(wù)中斷期間,只能依靠傳統(tǒng)紙面形式提交官方文件。

據(jù)阿根廷新聞媒體Cadena 3發(fā)布的“網(wǎng)絡(luò)攻擊應(yīng)急計劃”顯示,科爾多瓦司法機構(gòu)證實曾遭受勒索軟件攻擊,并已經(jīng)與微軟、思科、趨勢科技及當?shù)貙<夜餐_展事件調(diào)查。

經(jīng)谷歌翻譯理解,報道中提到“2022年8月13日星期六,科爾多瓦法院的技術(shù)基礎(chǔ)設(shè)施遭受網(wǎng)絡(luò)攻擊,IT服務(wù)受勒索軟件影響而無法正常運轉(zhuǎn)。”

阿根廷新聞媒體Clarín 也提到,有消息人士稱,此次攻擊影響到司法機構(gòu)的IT系統(tǒng)及數(shù)據(jù)庫,這是該國“歷史上針對公共機構(gòu)的最嚴重攻擊活動”。

圖:科爾多瓦司法機構(gòu)網(wǎng)站已經(jīng)中斷

攻擊方系Play勒索軟件

雖然司法機構(gòu)尚未披露此次攻擊的更多細節(jié),但記者Luis Ernest Zegarra已經(jīng)在推特上表示,他們受到的是以“.Play”為擴展名實施文件加密的勒索軟件攻擊。

該擴展名與2022年6月新出現(xiàn)的“Play”勒索軟件有關(guān),當時首批受害者曾在BleepingComputer論壇上描述過攻擊情形。

與其他勒索軟件攻擊一樣,Play惡意黑客同樣先入侵網(wǎng)絡(luò)、再加密設(shè)備。而在加密文件時,該勒索軟件會添加.PLAY擴展名,如下圖所示。

圖:被Play勒索軟件加密的文件

但與大多數(shù)留下冗長勒索說明、向受害者施壓要挾的其他勒索軟件不同,“Play”屬于典型的“人狠話不多”。

“Play”的ReadMe.txt勒索說明不會遍布每個文件夾,而僅僅只放在磁盤驅(qū)動器的根目錄(C:\\)下。內(nèi)容也非常簡潔,只有“PLAY”單詞與聯(lián)系郵件地址。

圖:Play勒索說明示例

外媒BleepingComputer獲悉,Play團伙會使用多個不同聯(lián)絡(luò)郵件地址,所以上圖地址可能跟科爾多瓦司法機構(gòu)攻擊事件無關(guān)。

目前還不清楚Play團伙是如何入侵司法機構(gòu)網(wǎng)絡(luò)的。但在今年3月Lapsus$入侵Globant事件當中,曾有司法部門的員工遭遇郵件地址列表泄露。也許Play團伙是借此實施網(wǎng)絡(luò)釣魚攻擊,進而竊取到登錄憑證。

目前暫時沒有發(fā)現(xiàn)該勒索軟件團伙實施數(shù)據(jù)泄露,或數(shù)據(jù)在攻擊期間被盜的跡象。

這已經(jīng)不是阿根廷政府機構(gòu)第一次遭受勒索軟件攻擊。早在2020年9月,Netwalker勒索軟件團伙就襲擊了阿根廷官方移民局 Dirección Nacional de Migraciones,并開價索取400萬美元贖金。

參考資料:bleepingcomputer.com

 
 

上一篇:2022年應(yīng)用安全報告:重要趨勢與挑戰(zhàn)

下一篇:2022年8月17日聚銘安全速遞