Volgens een nieuw gezamenlijk cyberbeveiligingsadvies van Australië en de VS hebben de bedreigingsactoren achter de Play-ransomware in oktober 2023 naar schatting ongeveer 300 entiteiten getroffen.
“Play ransomware-actoren maken gebruik van een dubbel afpersingsmodel, waarbij ze systemen versleutelen na het exfiltreren van gegevens en een breed scala aan bedrijven en kritieke infrastructuurorganisaties in Noord-Amerika, Zuid-Amerika, Europa en Australië hebben getroffen”, aldus de autoriteiten.
Play, ook wel Balloonfly en PlayCrypt genoemd, ontstond in 2022 en maakte gebruik van beveiligingsfouten in Microsoft Exchange-servers (CVE-2022-41040 en CVE-2022-41082) en Fortinet-apparaten (CVE-2018-13379 en CVE-2020-12812) om inbreuk te maken op ondernemingen en het implementeren van bestandsversleutelende malware.
Het is de moeite waard erop te wijzen dat ransomware-aanvallen in toenemende mate kwetsbaarheden misbruiken in plaats van phishing-e-mails als initiële infectievectoren te gebruiken, van bijna nul in de tweede helft van 2022 naar bijna een derde in de eerste helft van 2023, volgens gegevens van Corvus.
Cyberbeveiligingsbedrijf Adlumin onthulde in een vorige maand gepubliceerd rapport dat het aan andere bedreigingsactoren ‘als een service’ wordt aangeboden, waarmee de transformatie naar een ransomware-as-a-service (RaaS)-operatie wordt voltooid.
Ransomware-aanvallen die door de groep worden georkestreerd, worden gekenmerkt door het gebruik van openbare en op maat gemaakte tools zoals AdFind om Active Directory-query’s uit te voeren, Grixba om netwerkinformatie op te sommen, GMER, IOBit en PowerTool om antivirussoftware uit te schakelen, en Grixba om informatie te verzamelen over back-upsoftware en tools voor extern beheer die op een machine zijn geïnstalleerd.
Er is ook waargenomen dat de bedreigingsactoren zijdelingse verplaatsingen en data-exfiltratie- en encryptiestappen uitvoeren, waarbij ze voor post-exploitatie vertrouwen op Cobalt Strike, SystemBC en Mimikatz.
“De Play-ransomwaregroep gebruikt een model van dubbele afpersing, waarbij systemen worden gecodeerd na het exfiltreren van gegevens”, aldus de agentschappen. “Losgeldbriefjes bevatten geen eerste vraag om losgeld of betalingsinstructies, maar de slachtoffers krijgen de opdracht om via e-mail contact op te nemen met de dreigingsactoren.”
Volgens statistieken van Malwarebytes zou Play alleen al in november 2023 bijna 40 slachtoffers hebben gemaakt, maar aanzienlijk achterlopen op zijn collega’s LockBit en BlackCat (ook bekend als ALPHV en Noberus).
De waarschuwing komt dagen nadat Amerikaanse overheidsinstanties een bijgewerkt bulletin hebben uitgebracht over de Karakurt-groep, waarvan bekend is dat zij op encryptie gebaseerde aanvallen schuwt ten gunste van pure afpersing nadat zij initiële toegang tot netwerken heeft verkregen via de aankoop van gestolen inloggegevens, inbraakmakelaars (ook wel initiële toegangsmakelaars genoemd). ), phishing en bekende beveiligingsfouten.
“Slachtoffers van Karakurt hebben geen melding gemaakt van de versleuteling van gecompromitteerde machines of bestanden; in plaats daarvan hebben Karakurt-acteurs beweerd gegevens te stelen en gedreigd deze te veilen of vrij te geven aan het publiek, tenzij ze de betaling van het gevraagde losgeld ontvangen”, aldus de regering.
De ontwikkelingen komen ook voort uit speculaties dat de BlackCat-ransomware mogelijk het doelwit was van een wetshandhavingsoperatie nadat de dark web-lekportals vijf dagen offline waren gegaan. Het e-crime-collectief schreef de storing echter toe aan een hardwarefout.
Bovendien zou een andere opkomende ransomwaregroep, bekend als NoEscape, een exit-scam hebben opgezet, waarbij ze in feite “de losgeldbetalingen hadden gestolen en de webpanelen en datalekkensites van de groep hadden gesloten”, wat andere bendes zoals LockBit ertoe aanzette hun voormalige leden te rekruteren.
Dat het ransomware-landschap voortdurend evolueert en verandert, of dit nu komt door externe druk van wetshandhavers, is niet verrassend. Dit wordt verder bewezen door de samenwerking tussen de ransomwarebendes BianLian, White Rabbit en Mario in een gezamenlijke afpersingscampagne gericht op beursgenoteerde financiële dienstverleners.
“Deze coöperatieve losgeldcampagnes zijn zeldzaam, maar komen mogelijk steeds vaker voor vanwege de betrokkenheid van Initial Access Brokers (IAB’s) die samenwerken met meerdere groepen op het dark web”, aldus Resecurity in een rapport dat vorige week werd gepubliceerd.
“Een andere factor die kan leiden tot meer samenwerking zijn wetshandhavingsinterventies die cybercriminele diasporanetwerken creëren. Ontheemde deelnemers aan deze netwerken van bedreigingsactoren zijn mogelijk meer bereid om met rivalen samen te werken.”
