阿根廷地方司法機構遭勒索軟件攻擊：IT系統全部關閉 被迫紙筆辦公

安全內參8月16日消息，南美洲阿根廷科爾多瓦司法機構因勒索軟件攻擊而被迫關閉IT系統，據爆料此次攻擊是新近出現的Play勒索軟件所為。

這次攻擊發生在上周六（8月13日），迫使當地司法機構關閉了其IT系統及在線門戶。服務中斷期間，只能依靠傳統紙面形式提交官方文件。

據阿根廷新聞媒體Cadena 3發布的“網絡攻擊應急計劃”顯示，科爾多瓦司法機構證實曾遭受勒索軟件攻擊，并已經與微軟、思科、趨勢科技及當地專家共同開展事件調查。

經谷歌翻譯理解，報道中提到“2022年8月13日星期六，科爾多瓦法院的技術基礎設施遭受網絡攻擊，IT服務受勒索軟件影響而無法正常運轉。”

阿根廷新聞媒體Clarín 也提到，有消息人士稱，此次攻擊影響到司法機構的IT系統及數據庫，這是該國“歷史上針對公共機構的最嚴重攻擊活動”。

圖：科爾多瓦司法機構網站已經中斷

攻擊方系Play勒索軟件

雖然司法機構尚未披露此次攻擊的更多細節，但記者Luis Ernest Zegarra已經在推特上表示，他們受到的是以“.Play”為擴展名實施文件加密的勒索軟件攻擊。

該擴展名與2022年6月新出現的“Play”勒索軟件有關，當時首批受害者曾在BleepingComputer論壇上描述過攻擊情形。

與其他勒索軟件攻擊一樣，Play惡意黑客同樣先入侵網絡、再加密設備。而在加密文件時，該勒索軟件會添加.PLAY擴展名，如下圖所示。

圖：被Play勒索軟件加密的文件

但與大多數留下冗長勒索說明、向受害者施壓要挾的其他勒索軟件不同，“Play”屬于典型的“人狠話不多”。

“Play”的ReadMe.txt勒索說明不會遍布每個文件夾，而僅僅只放在磁盤驅動器的根目錄（C:\）下。內容也非常簡潔，只有“PLAY”單詞與聯系郵件地址。

圖：Play勒索說明示例

外媒BleepingComputer獲悉，Play團伙會使用多個不同聯絡郵件地址，所以上圖地址可能跟科爾多瓦司法機構攻擊事件無關。

目前還不清楚Play團伙是如何入侵司法機構網絡的。但在今年3月Lapsus$入侵Globant事件當中，曾有司法部門的員工遭遇郵件地址列表泄露。也許Play團伙是借此實施網絡釣魚攻擊，進而竊取到登錄憑證。

目前暫時沒有發現該勒索軟件團伙實施數據泄露，或數據在攻擊期間被盜的跡象。

這已經不是阿根廷政府機構第一次遭受勒索軟件攻擊。早在2020年9月，Netwalker勒索軟件團伙就襲擊了阿根廷官方移民局 Dirección Nacional de Migraciones，并開價索取400萬美元贖金。