Le autorità federali emettono un allarme per il ransomware Play che minaccia infrastrutture cruciali, usando metodi innovativi
Il governo degli Stati Uniti ha aggiornato il proprio avviso riguardo al gruppo Play ransomware, originariamente emesso a dicembre 2023, a seguito di una serie di recenti attacchi.
La società di sicurezza SentinelOne ha scoperto tre vulnerabilità significative nel software di monitoraggio e gestione remota SimpleHelp (RMM), che sono state sfruttate da più gruppi di ransomware, inclusi quelli affiliati a Play, a partire dalla metà di gennaio. Il difetto più rilevante, CVE-2024-57727, è una vulnerabilità di traversamento del percorso che consente a un attaccante non autenticato di scaricare file arbitrali dal server SimpleHelp.
Nove degli attacchi del ransomware Play hanno colpito il settore sanitario, mentre la maggior parte si concentra su altri settori. Errol Weiss, chief security officer del Health Information Sharing and Analysis Center, ha invitato tutte le organizzazioni, comprese quelle del settore sanitario, a prendere sul serio l'avviso congiunto e seguire le raccomandazioni.
In un incidente separato reso noto da Sophos, un attore minaccioso ha ottenuto l'accesso a uno strumento SimpleHelp di un provider di servizi gestiti e ha distribuito il ransomware DragonForce. Tuttavia, questo incidente non mostra alcun legame diretto tra i gruppi ransomware DragonForce e Play.
Naveen Sunkavally, chief architect di Horizon3.ai, ha sottolineato che gli strumenti RMM come SimpleHelp sono stati storicamente obiettivi ad alto valore per gli attaccanti perché, se compromessi, consentono agli attaccanti di ottenere facilmente l'accesso iniziale in múltiples ambienti client contemporaneamente.
Il gruppo ransomware Play, anche noto come PlayCrypt, ha preso di mira l'infrastruttura critica degli Stati Uniti e altre organizzazioni. Sono stati precedentemente accusati di attacchi che hanno preso di mira ConnectWise ScreenConnect e Rackspace. Gli attacchi recenti che sfruttano SimpleHelp coinvolgono queste tre vulnerabilità scoperte dalla società di sicurezza Horizon3.ai.
SimpleHelp ha rilasciato aggiornamenti di sicurezza per correggere le tre vulnerabilità, ed è fondamentale che tutti gli utenti li installino il prima possibile. Il gruppo ransomware Play rimane attivo, con attacchi che si verificano in Nord America, Sud America ed Europa.
CISA ha aggiunto CVE-2024-57727 al proprio catalogo di vulnerabilità note sfruttate a febbraio, evidenziando la gravità di questo problema. Weiss incoraggia tutte le organizzazioni a dare la priorità alle misure di cybersecurity e a restare vigili contro queste minacce.
Leggi anche:
- "Il governatore Hochul sostiene che le aziende di New York hanno inviato illegalmente prodotti per lo svapo, con particolare attenzione ai bambini"
- Esplorare il nesso: Le infanzie traumatiche alimentano gli antagonisti cinematografici?
- Esplorazione dei regolamenti relativi alle scommesse e al mantenimento del fair play nella scena sportiva contemporanea
- Info: Imminente uscita di EA SPORTS FC 26 con un'espansione delle squadre e delle leghe di calcio disponibili
