Play угрожает опубликовать конфиденциальные данные до 19 ноября.
В рамках, возможно, первой в своём роде атаки программы-вымогателя, хакерская группировка Play заявила о взломе максимально защищённого исправительного учреждения в штате Род-Айленд на северо-востоке США.
Исправительное учреждение Дональда В. Уайетта, расположенное в городе Центральный Водопад, Род-Айленд, было указано на сайте вымогателей в даркнете во вторник вечером.
Учреждение максимальной безопасности вмещает более 700 взрослых мужчин и 40 взрослых женщин-заключённых, включая тех, кто находится под стражей Управления маршалов США, Федерального бюро тюрем, Военно-морского флота США, а также из резервации коренных американцев Машантакет Пеквот.
Группировка утверждает, что они похитили "личные конфиденциальные данные, документы клиентов, соглашения, бюджет, кадровую информацию, удостоверения личности, налоговую и финансовую информацию и т. д."
Play не раскрыла объём похищенных данных из учреждения, вместо этого загадочно разместив три вопросительных знака "???" за символом гигабайта в списке.
Также группа заявляет, что опубликует все данные, которые у неё есть к 19 ноября.
В отличие от федеральной тюрьмы, государственное исправительное учреждение содержит заключённых, которые ещё не предстали перед судом, были отказаны в залоге или ожидают суда.
Частное учреждение также управляется советом директоров, назначаемым мэром Центрального Водопада, что делает его квази-государственной корпорацией.
Помимо систем безопасности и операций в исправительном учреждении, файлы о заключённых, особенно тех, кто может быть признан невиновным, могут предоставить хакерам сокровищницу информации, которая потенциально может быть использована для шантажа заключённых в будущем.
Кроме того, для заключённых, ожидающих суда, конфиденциальные документы могут быть использованы для влияния на судебные процессы и спровоцировать десятки исков против учреждения за ненадлежащее обеспечение безопасности личных данных.
Исправительное учреждение, являющееся частью Американской ассоциации исправления (ACA), принимает заключённых из различных юрисдикций, включая соседние штаты Коннектикут, Массачусетс, Нью-Гэмпшир, Мэн и Вермонт.
Ransomware Play, также известная как PlayCrypt, впервые была замечена с июня 2022 года.
С момента своего появления группа регулярно заявляла о взломе и публиковала данные примерно двух десятков жертв в месяц на своём тёмном сайте, что делает общее количество жертв более 250.
Группа чаще всего атакует средние компании, в основном из США, Канады, Латинской Америки и Европы.
Наиболее известной атакой Play была месячная атака на город Окленд и офис шерифа округа Пало-Альто в Калифорнии в этом году.
Группа описывается как вдохновлённая группой Hive, которую ФБР ликвидировало в январе, но которая заявила о своём возвращении в действие по состоянию на 16 ноября этого отчёта.
Согласно блогу охотника за угрозами Symantec от апреля, Play приняла два новых индивидуально разработанных инструмента взлома, позволяющих хакерам "собирать данные, обычно заблокированные операционной системой".
Play также считается одной из первых групп программ-вымогателей, использующих прерывистое шифрование, когда шифруются только определённые фиксированные сегменты системы, что позволяет быстрее получить доступ и вывести данные жертвы.
Недавно группа замечена в использовании программного обеспечения для удалённого мониторинга и управления (RMM), а также в использовании известных уязвимостей в брандмауэрах Fortinet.
Среди прочих высокопрофильных жертв Play в этом году - компания по облачным вычислениям Rackspace, немецкая гостиничная сеть H-Hotels и BMW France.
Одно найти легче, чем другое. Спойлер: это не темная материя