17/08/22
Суд города Кордова в Аргентине (Judiciary of Córdoba) отключила свои IT-системы и веб-портал после атаки программы-вымогателя Play, которая произошла 13 августа. В соответствии с « Регламентом в случае непредвиденных обстоятельств кибератаки » судебные органы привлекли Microsoft, Cisco, Trend Micro и местных специалистов для расследования атаки.
Аргентинское издание Clarín, ссылаясь на источники, сообщило, что кибератака затронула все IT-системы судебной власти и ее базы данных, что сделало ее «крупнейшей атакой на государственные учреждения в истории».
Хотя судебные органы не раскрыли подробности атаки, журналист Луис Эрнест Зегарра написал в Twitter, что системы были атакованы программой-вымогателем, которая добавляет расширение «.Play» к зашифрованным файлам. Это расширение связано с новой кампанией Play, запущенной в июне 2022 года.
Стоит отметить, что вместо создания записки с требованием выкупа в каждой папке, записка о выкупе «PlayMe.txt» создается только в корне жесткого диска (C:\) и содержит слово «PLAY» и контактный адрес электронной почты.
На данный момент не известно, как злоумышленник взломал сеть судебного органа. Однако, список email-адресов сотрудников был опубликован после взлома системы компании Globant группой Lapsus$ в марте, которая содержала конфиденциальные данные сотрудников судебного органа Кордовы, что могло позволить киберпреступнику провести фишинговую атаку для кражи учетных данных. Так пишет Securitylab. Утечка данных или других признаков кражи данных во время атаки Play не обнаружены.
