เมนู

‘PLAY’ RANSOMWARE
โจมตีตุลาการรัฐกอรโดบา ในประเทศอาร์เจนตินา

Argentina Full

ปิดระบบไอที และการทำงานออนไลน์ทั้งหมบังคับใช้ปากกา และกระดาษในการยื่นเอกสารราชกา

17 สิงหาคม 2565

การโจมตีเกิดขึ้นในวันเสาร์ที่ 13 สิงหาคมที่ผ่านมา ทำให้ทางตุลาการต้องปิดระบบไอที และการใช้งานออนไลน์ลง บังคับให้ใช้ปากกา และกระดาษในการยื่นเอกสารราชการ จากเหตุการณ์ที่เกิดขึ้นทางฝ่ายตุลาการได้ร่วมมือกับทาง Microsoft, Cisco, Trend Micro และผู้เชี่ยวชาญในการตรวจสอบสาเหตุในการโจมตีครั้งนี้

การโจมตีนี้ส่งผลกระทบโดยตรงกับโครงสร้างพื้นฐานทางเทคโนโลยีของ Court of Córdoba ทำให้ประสิทธิภาพการทำงานต่างๆ และการให้บริการลดลงรวมถึงฐานข้อมูลของ Judiciary’s นับว่าเป็นเรื่องที่เลวร้ายที่สุดในประวัติศาสตร์ “worst attack on public institutions in history” 

 

 

การโจมตีที่มีความเชื่อมโยงกับ Play ransomware

ขณะที่ผู้พิพากษาไม่ได้เปิดเผยถึงรายละเอียดของการโจมตีในครั้งนี้ ทางนักข่าว Luis Ernest Zegarra ได้มีการทวีตว่าพวกเขาถูกโจมตีด้วยแรนซัมแวร์ที่ใช้นามสกุล “.Play” ต่อท้ายไฟล์ที่มีการถูกเข้ารหัส ซึ่งเชื่อมโยงไปถึงเรื่องการเรียกค่าไถ่ของ ‘Play’ ransomware ที่ได้เป็นข่าวเมื่อช่วงเดือนมิถุนายนที่ผ่านมาจากรายงานของผู้เสียหายผ่านทาง Bleeping Computer forums

 

 

การดำเนินการของผู้โจมตีจะทำการบุกรุกเครือข่าย และทำการเข้ารหัสอุปกรณ์โดยจะเพิ่มนามสกุล .PLAY ดังตัวอย่างที่แสดง แทนที่จะสร้างบันทึกไฟล์เรียกค่าไถ่ไว้ในทุกโฟลเดอร์ในส่วนของ Play ransomware จะสร้างไฟล์ Notepad ที่ใช้ชื่อว่า ReadMe.txt ไว้ใน root ของใน drive (C:\) และมีคำว่า ‘PLAY’ และที่อยู่อีเมลที่ใช้สำหรับการติดต่อเท่านั้น

 

 

ในการพูดคุยกับทางนักวิจัยด้านความปลอดภัย Mauro Eldritch ได้รับการแจ้งเตือนเกี่ยวกับอีเมลต่างๆ ที่ใช้ในการโจมตีดังนั้นรายชื่ออีเมลอาจจะไม่เกี่ยวข้องกับการโจมตีที่เกิดขึ้นกับ Judiciary of Córdoba และไม่ทราบว่า ‘PLAY’ มีการละเมิดเครือข่ายของ Judiciary แต่อย่างไร แต่พบรายชื่อที่อยู่ของอีเมลพนักงานถูกเปิดเผยออกไป Lapsus$ breach of Globant ในเดือนมีนาคม ซึ่งอาจเป็นช่องโหว่ที่อนุญาตให้ผู้โจมตีสามารถส่งข้อมูล Phishing เพื่อขโมยข้อมูลได้

 

ท้ายที่สุดยังไม่พบข้อมูลที่ถูกเปิดเผยที่เกี่ยวข้องกับ ransomware ดังกล่าวหรือบงชี้ว่าข้อมูลถูกขโมยระหว่างการโจมตี จากเหตุการณ์นี้ไม่ใช่ครั้งแรกที่หน่วยงานของรัฐในประเทศอาร์เจนตินาถูกโจมตีด้วยแรนซัมแวร์ ในเดือนกันยายน 2564 ที่พบกลุ่ม Netwalker ransomware โจมตี Dirección Nacional de Migraciones และถูกเรียกร้องค่าไถ่ 4 ล้านดอลลาร์

อ้างอิง: bleepingcomputer1

อ้างอิง: bleepingcomputer2