- Actualités
- >cybersécurité
Le ransomware Play se déploie comme service commercial pour les cybercriminels
- par Kenan
- , Publié le 22 novembre 2023
- , à11 h 52 min
La souche de ransomware connue sous le nom de Play est désormais proposée à d’autres acteurs de la menace « en tant que service », comme le révèlent de nouvelles preuves mises au jour par Adlumin.
« L’absence inhabituelle de variations, même minimes, entre les attaques suggère qu’elles sont menées par des affiliés qui ont acheté le ransomware en tant que service (RaaS) et qui suivent les instructions étape par étape des playbooks fournis avec celui-ci », a déclaré l’entreprise de cybersécurité dans un rapport transmis à The Hacker News.
Les conclusions sont basées sur diverses attaques de Play ransomware suivies par Adlumin dans différents secteurs qui ont incorporé des tactiques presque identiques et dans la même séquence. Il s’agit notamment de l’utilisation du dossier musical public (C:\…\public\music) pour cacher le fichier malveillant, du même mot de passe pour créer des comptes à privilèges élevés, et des deux attaques, ainsi que des mêmes commandes.
Play, également appelé Balloonfly et PlayCrypt, est apparu pour la première fois en juin 2022, exploitant des failles de sécurité dans Microsoft Exchange Server – à savoir ProxyNotShell et OWASSRF – pour infiltrer les réseaux et déposer des outils d’administration à distance tels que AnyDesk et finalement déployer le ransomware. Outre l’utilisation d’outils de collecte de données personnalisés tels que Grixba pour la double extorsion, Play se distingue des autres groupes de ransomware par le fait que les opérateurs chargés de développer les logiciels malveillants sont également à l’origine des attaques. Ce nouveau développement marque donc un changement et achève la transformation de Play en une opération RaaS, ce qui en fait une option lucrative pour les cybercriminels.
« Lorsque les opérateurs RaaS annoncent des kits de ransomware comprenant tout ce dont un pirate a besoin, notamment de la documentation, des forums, une assistance technique et une aide à la négociation de la rançon, les script kiddies sont tentés de tenter leur chance et de mettre leurs compétences à profit », explique M. Adlumin. Et comme il y a probablement plus de script kiddies que de « vrais pirates » aujourd’hui, les entreprises et les autorités devraient en prendre note et se préparer à une vague croissante d’incidents. »