Play Ransomware mira redes governamentais e assusta na América Latina
O Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov) adverte sobre ataques do “Play Ransomware” à redes governamentais de países da América Latina. Este ransomware pode utilizar a ferramenta nativa AdFind para consulta ao Active Directory (AD), em busca de informações que possibilite a elevação de privilégios em sistemas.
Foram identificados indícios de que o “Play Ransomware” explora vulnerabilidades existentes no “VPN Fortinet SSL”, para obter acesso inicial por meio de contas comprometidas, conforme as Common Vulnerabilities and Exposures abaixo:
https://nvd.nist.gov/vuln/detail/CVE-2018-13379
https://nvd.nist.gov/vuln/detail/CVE-2020-12812
Os Serviços de RDP expostos e compromentidos, também podem ser utilizados pelo malware em questão. Além dos procedimentos citados, é possível ainda que o grupo de atores do Ransomware se utilize de e-mails institucionais publicados em violações de dados anteriores e disparem campanhas de phishing direcionadas, com o intuito de obter credenciais válidas de acesso à rede como acesso inicial, para então continuar o ataque.
O CTIR Gov recomenda a adoção de campanhas de conscientização de usuários em relação a ataques de engenharia social, com especial atenção a tentativas de phishing via e-mail. Após a infecção, o Ransomware Play opera como as demais ameaças, executando exfiltração de dados e utilizando a abordagem da dupla extorsão contra as vítimas