ランサムウェア「Play」に警戒を - 米豪当局が注意喚起

ランサムウェア「Play」の攻撃グループは、何らかの方法で入手した有効なアカウント情報や既知の脆弱性を狙って初期侵入を行っている。

具体的には、「FortiOS」において過去に明らかとなっている脆弱性「CVE-2018-13379」「CVE-2020-12812」や、別名「ProxyNotShell」としても知られる「Microsoft Exchange」の脆弱性「CVE-2022-41040」「CVE-2022-41082」などを悪用。

侵入後は、「Active Directory」においてクエリを実行して情報収集を行うほか、マルウェア対策ソフトの無効化なども行っており、「Microsoft Defender」などもPowerShellスクリプトを用いて停止させられていた。

さらに「Mimikatz」を使用して認証情報の窃取なども行い、組織内におけるラテラルムーブメントを展開。データを外部に転送するとともに暗号化を行う。

アドバイザリでは、攻撃者が利用するツールや攻撃手法を一覧として取りまとめるとともに、関連ファイルのハッシュ値など「IoC（Indicators of Compromise）」などを提供している。

同ランサムウェアによる被害の軽減に向けて、利用するソフトウェアをすべて最新の状態に保ち、多要素認証の利用、ネットワークのセグメント化や監視、オフラインによるデータのバックアップ、復旧計画の策定など対策を講じるよう呼びかけている。

（Security NEXT - 2023/12/21 ）ツイート