

阿根廷地方司法机构遭到PLAY勒索软件攻击

铜牛奇安

2022-08-17

导读：近日，南美洲阿根廷科尔多瓦司法机构因勒索软件攻击而被迫关闭IT系统，据爆料此次攻击是新近出现的Play勒索软件所为。

近日，南美洲阿根廷科尔多瓦司法机构因勒索软件攻击而被迫关闭IT系统，据爆料此次攻击是新近出现的Play勒索软件所为。

这次攻击发生在上周六（8月13日），迫使当地司法机构关闭了其IT系统及在线门户。服务中断期间，只能依靠传统纸面形式提交官方文件。

据阿根廷新闻媒体Cadena 3发布的“网络攻击应急计划”显示，科尔多瓦司法机构证实曾遭受勒索软件攻击，并已经与微软、思科、趋势科技及当地专家共同开展事件调查。

经谷歌翻译理解，报道中提到“2022年8月13日星期六，科尔多瓦法院的技术基础设施遭受网络攻击，IT服务受勒索软件影响而无法正常运转。”

阿根廷新闻媒体Clarín 也提到，有消息人士称，此次攻击影响到司法机构的IT系统及数据库，这是该国“历史上针对公共机构的最严重攻击活动”。

图：科尔多瓦司法机构网站已经中断

攻击方系Play勒索软件

虽然司法机构尚未披露此次攻击的更多细节，但记者Luis Ernest Zegarra已经在推特上表示，他们受到的是以“.Play”为扩展名实施文件加密的勒索软件攻击。

该扩展名与2022年6月新出现的“Play”勒索软件有关，当时首批受害者曾在BleepingComputer论坛上描述过攻击情形。

与其他勒索软件攻击一样，Play恶意黑客同样先入侵网络、再加密设备。而在加密文件时，该勒索软件会添加.PLAY扩展名，如下图所示。

图：被Play勒索软件加密的文件

但与大多数留下冗长勒索说明、向受害者施压要挟的其他勒索软件不同，“Play”属于典型的“人狠话不多”。

“Play”的ReadMe.txt勒索说明不会遍布每个文件夹，而仅仅只放在磁盘驱动器的根目录（C:\）下。内容也非常简洁，只有“PLAY”单词与联系邮件地址。

图：Play勒索说明示例

外媒BleepingComputer获悉，Play团伙会使用多个不同联络邮件地址，所以上图地址可能跟科尔多瓦司法机构攻击事件无关。

目前还不清楚Play团伙是如何入侵司法机构网络的。但在今年3月Lapsus$入侵Globant事件当中，曾有司法部门的员工遭遇邮件地址列表泄露。也许Play团伙是借此实施网络钓鱼攻击，进而窃取到登录凭证。

目前暂时没有发现该勒索软件团伙实施数据泄露，或数据在攻击期间被盗的迹象。

这已经不是阿根廷政府机构第一次遭受勒索软件攻击。早在2020年9月，Netwalker勒索软件团伙就袭击了阿根廷官方移民局 Dirección Nacional de Migraciones，并开价索取400万美元赎金。

（文章来源：安全内参）

【声明】内容源于网络

铜牛奇安

北京铜牛奇安科技有限公司，是由北京铜牛信息科技股份有限公司与奇安信科技集团股份有限公司共同出资成立，是一家集安全运营托管服务、安全运营驻场服务、应急响应服务、安全系统集成与交付服务等为一体的综合网络安全服务提供商。

内容 60

粉丝 0

铜牛奇安北京铜牛奇安科技有限公司，是由北京铜牛信息科技股份有限公司与奇安信科技集团股份有限公司共同出资成立，是一家集安全运营托管服务、安全运营驻场服务、应急响应服务、安全系统集成与交付服务等为一体的综合网络安全服务提供商。

总阅读54

粉丝0

内容60