Play ransomware sembra aver attaccato il ministero della giustizia dell’Argentina. Ente statale che ha visto sito web bloccato e dati inaccessibili da sabato scorso
L’infrastruttura della magistratura argentina è stata completamente chiusa dopo un incidente informatico di tipo ransomware e i lavoratori sono stati costretti a tornare alla carta e penna.
L’attacco è avvenuto sabato 13 agosto. La parte interessata ha avviato un’indagine e ha coinvolto specialisti di Microsoft, Cisco e Trend Micro.
Magistratura argentina sotto attacco, può essere il più devastante
Clarín riferisce che le fonti affermano di un attacco che avrebbe colpito il sistema informatico della magistratura e il suo database, rendendolo l’attacco più devastante alle istituzioni pubbliche nella storia del paese.
Come hanno scoperto i giornalisti, l’attacco è correlato al ransomware Play, apparso per la prima volta sui radar dei ricercatori di infosec molto di recente, nel giugno 2022.
Come in tutti gli incidenti simili, è ormai noto che gli aggressori del ransomware compromettono la rete e crittografano i dispositivi. Durante la crittografia dei file, il ransomware aggiunge l’estensione “.PLAY”.
Tuttavia, a differenza della maggior parte delle operazioni di ransomware, le richieste di riscatto di Play sono insolitamente semplici. Invece di creare note di riscatto in ogni cartella, la nota PlayMe.txt viene creata solo nella radice del disco rigido (C:) e contiene solo la parola “PLAY” con un indirizzo email di contatto.
Finora non è chiaro il meccanismo di hacking della rete Play della magistratura. Non c’è stata alcuna fuga di dati pubblicamente documentata o alcuna prova di esfiltrazione di dati durante l’attacco.
Come noto invece, l’elenco degli indirizzi email dei dipendenti è già apparso sul dark web dopo che Globant è stato violato dai membri di Lapsus$ nel marzo di quest’anno. Ovviamente rimane un valido espediente quello di aver utilizzato questo databreach, dagli aggressori per implementare un attacco di phishing e rubare le credenziali.
Sfortunatamente, questa non è la prima volta che un’agenzia governativa in Argentina viene attaccata da un ransomware. Nel settembre 2020, la banda di ransomware Netwalker aveva già attaccato la Dirección Nacional de Migraciones e lanciato un riscatto di 4 milioni di dollari.
Non resta che seguire l’evolversi della situazione.