这是阿根廷“历史上针对公共机构的最严重攻击活动”。
前情回顾·司法系统 络安全
安全内参8月16日消息,南美洲阿根廷科尔多瓦司法机构因勒索软件攻击而被迫关闭IT系统,据爆料此次攻击是新近出现的Play勒索软件所为。
这次攻击发生在上周六(8月13日),迫使当地司法机构关闭了其IT系统及在线门户。服务中断期间,只能依靠传统纸面形式提交官方文件。
据阿根廷新闻媒体Cadena 3发布的“ 络攻击应急计划”显示,科尔多瓦司法机构证实曾遭受勒索软件攻击,并已经与微软、思科、趋势科技及当地专家共同开展事件调查。
经谷歌翻译理解, 道中提到“2022年8月13日星期六,科尔多瓦法院的技术基础设施遭受 络攻击,IT服务受勒索软件影响而无法正常运转。”
阿根廷新闻媒体Clarín 也提到,有消息人士称,此次攻击影响到司法机构的IT系统及数据库,这是该国“历史上针对公共机构的最严重攻击活动”。
图:科尔多瓦司法机构 站已经中断
攻击方系Play勒索软件
该扩展名与2022年6月新出现的“Play”勒索软件有关,当时首批受害者曾在BleepingComputer论坛上描述过攻击情形。
与其他勒索软件攻击一样,Play恶意黑客同样先入侵 络、再加密设备。而在加密文件时,该勒索软件会添加.PLAY扩展名,如下图所示。
图:被Play勒索软件加密的文件
但与大多数留下冗长勒索说明、向受害者施压要挟的其他勒索软件不同,“Play”属于典型的“人狠话不多”。
“Play”的ReadMe.txt勒索说明不会遍布每个文件夹,而仅仅只放在磁盘驱动器的根目录(C:)下。内容也非常简洁,只有“PLAY”单词与联系邮件地址。
图:Play勒索说明示例
外媒BleepingComputer获悉,Play团伙会使用多个不同联络邮件地址,所以上图地址可能跟科尔多瓦司法机构攻击事件无关。
目前还不清楚Play团伙是如何入侵司法机构 络的。但在今年3月Lapsus$入侵Globant事件当中,曾有司法部门的员工遭遇邮件地址列表泄露。也许Play团伙是借此实施 络钓鱼攻击,进而窃取到登录凭证。
目前暂时没有发现该勒索软件团伙实施数据泄露,或数据在攻击期间被盗的迹象。
这已经不是阿根廷政府机构第一次遭受勒索软件攻击。早在2020年9月,Netwalker勒索软件团伙就袭击了阿根廷官方移民局 Dirección Nacional de Migraciones,并开价索取400万美元赎金。
参考资料:bleepingcomputer.com
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!