Plus de 900 organisations ciblées par le ransomware Play, qui combine failles logicielles, menaces directes et double extorsion depuis 2022.
Depuis 2022, un groupe de cybercriminels appelé « Play » a réussi à pirater plus de 900 organisations dans le monde. Un chiffre impressionnant qui montre à quel point les attaques par rançongiciel restent une menace majeure.
Un mode d’attaque bien rodé
Le groupe Play fait partie des acteurs appelés « Ransomware-as-a-Service » (RaaS). Cela signifie qu’il propose à d’autres cybercriminels d’utiliser son logiciel de piratage contre une part des gains. C’est un modèle « clé en main » du crime en ligne, où certains créent les outils et d’autres les utilisent pour attaquer.
Une fois qu’une organisation est infectée, le groupe vole ses données sensibles, puis bloque l’accès aux fichiers. Il demande ensuite une rançon pour rétablir l’accès et promet de ne pas publier les données volées. C’est ce qu’on appelle une double extorsion.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
Des attaques de plus en plus difficiles à détecter
Pour passer sous les radars, Play modifie légèrement son virus à chaque attaque. Cela empêche les antivirus classiques de le reconnaître facilement. Ils visent aussi bien des ordinateurs que des serveurs d’entreprise, même ceux qui gèrent des machines virtuelles.
Le groupe profite de failles dans des logiciels connus (comme Fortinet ou Microsoft Exchange) pour s’introduire dans les systèmes. Ils utilisent aussi des identifiants volés ou des connexions à distance mal protégées.
Les cybercriminels de Play ne se contentent pas d’un message sur l’écran. Ils vont parfois jusqu’à appeler directement les entreprises victimes pour les menacer ou les pousser à payer plus vite. Ils utilisent des adresses e-mail anonymes et peuvent contacter le service client ou le support informatique.
Comment réduire les risques ?
Les agences de cybersécurité, comme le FBI ou la CISA, recommandent plusieurs actions simples mais efficaces :
- Installer un antivirus à jour et surveiller le réseau contre les comportements suspects.
- Activer la double authentification (code par SMS ou appli) pour les connexions sensibles.
- Mettre à jour tous les logiciels régulièrement pour corriger les failles.
- Sauvegarder les données sur un support déconnecté d’internet.
Pour en savoir plus
Le groupe de ransomware Play a touché 900 organisations depuis 2022
Un avis conjoint des autorités américaines et australiennes indique que le rançongiciel Play a touché environ 900 organisations au cours des trois dernières années. Un avis conjoint du Federal Bureau of Investigation (FBI),…
La CISA publie les TTP et les IoC pour le ransomware Play qui a piraté plus de 900 organisations
La Cybersecurity and Infrastructure Security Agency (CISA), en collaboration avec le Federal Bureau of Investigation (FBI) et le Centre australien de cybersécurité de la Direction des signaux australiens (ACSC de l’ASD), a publié des tactiques, techniques et procédures (TTP) détaillées ainsi que des indicateurs de compromission (IoC) pour le…
(Re)découvrez également:
Le ransomware Play mute en service commercial pour les cybercriminels #RaaS
Le ransomware Play est désormais offert « comme un service », selon Adlumin, augmentant ainsi le volume et le spectre de ses cyberattaques.
Zéro paywall. Zéro pub.
DCOD reste en accès libre grâce à vos contributions. Chaque café compte.
