阿根廷地方司法机构遭勒索软件攻击：IT系统全部关闭 被迫纸笔办公

安全内参8月16日消息，南美洲阿根廷科尔多瓦司法机构因勒索软件攻击而被迫关闭IT系统，据爆料此次攻击是新近出现的Play勒索软件所为。

这次攻击发生在上周六（8月13日），迫使当地司法机构关闭了其IT系统及在线门户。服务中断期间，只能依靠传统纸面形式提交官方文件。

据阿根廷新闻媒体Cadena 3发布的“网络攻击应急计划”显示，科尔多瓦司法机构证实曾遭受勒索软件攻击，并已经与微软、思科、趋势科技及当地专家共同开展事件调查。

经谷歌翻译理解，报道中提到“2022年8月13日星期六，科尔多瓦法院的技术基础设施遭受网络攻击，IT服务受勒索软件影响而无法正常运转。”

阿根廷新闻媒体Clarín 也提到，有消息人士称，此次攻击影响到司法机构的IT系统及数据库，这是该国“历史上针对公共机构的最严重攻击活动”。

图：科尔多瓦司法机构网站已经中断

攻击方系Play勒索软件

虽然司法机构尚未披露此次攻击的更多细节，但记者Luis Ernest Zegarra已经在推特上表示，他们受到的是以“.Play”为扩展名实施文件加密的勒索软件攻击。

该扩展名与2022年6月新出现的“Play”勒索软件有关，当时首批受害者曾在BleepingComputer论坛上描述过攻击情形。

与其他勒索软件攻击一样，Play恶意黑客同样先入侵网络、再加密设备。而在加密文件时，该勒索软件会添加.PLAY扩展名，如下图所示。

图：被Play勒索软件加密的文件

但与大多数留下冗长勒索说明、向受害者施压要挟的其他勒索软件不同，“Play”属于典型的“人狠话不多”。

“Play”的ReadMe.txt勒索说明不会遍布每个文件夹，而仅仅只放在磁盘驱动器的根目录（C:\）下。内容也非常简洁，只有“PLAY”单词与联系邮件地址。

图：Play勒索说明示例

外媒BleepingComputer获悉，Play团伙会使用多个不同联络邮件地址，所以上图地址可能跟科尔多瓦司法机构攻击事件无关。

目前还不清楚Play团伙是如何入侵司法机构网络的。但在今年3月Lapsus$入侵Globant事件当中，曾有司法部门的员工遭遇邮件地址列表泄露。也许Play团伙是借此实施网络钓鱼攻击，进而窃取到登录凭证。

目前暂时没有发现该勒索软件团伙实施数据泄露，或数据在攻击期间被盗的迹象。

这已经不是阿根廷政府机构第一次遭受勒索软件攻击。早在2020年9月，Netwalker勒索软件团伙就袭击了阿根廷官方移民局 Dirección Nacional de Migraciones，并开价索取400万美元赎金。