Η εθνική ομάδα ασφάλειας υπολογιστών και αντιμετώπισης περιστατικών της Χιλής (CSIRT) ανακοίνωσε ότι μια επίθεση ransomware έχει επηρεάσει τις λειτουργίες και τις διαδικτυακές υπηρεσίες μιας κυβερνητικής υπηρεσίας της χώρας.
Δείτε επίσης: Interworks cloud κυβερνοεπίθεση: Αποκατάσταση σε υπηρεσίες DNS και Acronis
Η επίθεση ξεκίνησε την Πέμπτη 25 Αυγούστου, με στόχο τους servers Microsoft και VMware ESXi που διαχειρίζεται η υπηρεσία.
Οι χάκερ σταμάτησαν όλα τα virtual machines που λειτουργούσαν και κρυπτογραφούσαν τα αρχεία τους, προσθέτοντας την επέκταση ονόματος αρχείου “.crypt”.
Δείτε επίσης: Μαυροβούνιο ransomware επίθεση: Οι hackers ζητούν $ 10 εκατομμύρια
Σύμφωνα με την CSIRT, το malware που χρησιμοποιήθηκε σε αυτήν την επίθεση είχε και λειτουργίες για την κλοπή credentials από web browsers, τη λίστα αφαιρούμενων συσκευών για κρυπτογράφηση και την αποφυγή εντοπισμού ιών με χρήση χρονικών ορίων εκτέλεσης.
Με τον τυπικό τρόπο διπλού εκβιασμού, οι εισβολείς πρόσφεραν στην CSIRT της Χιλής ένα κανάλι επικοινωνίας για να διαπραγματευτεί την πληρωμή λύτρων που θα απέτρεπε τη διαρροή των αρχείων και θα ξεκλειδώσει τα κρυπτογραφημένα δεδομένα.
Ο εισβολέας έθεσε προθεσμία τριών ημερών και απείλησε να πουλήσει τα κλεμμένα δεδομένα σε άλλους κυβερνοεγκληματίες στο dark web.
Η απόδοση είναι ασαφής
Η ανακοίνωση της CSIRT της Χιλής δεν κατονομάζει την ομάδα ransomware που είναι υπεύθυνη για την επίθεση, ούτε παρέχει επαρκείς λεπτομέρειες που θα οδηγούσαν στον εντοπισμό του κακόβουλου λογισμικού.
Η επέκταση που προσαρτάται στα κρυπτογραφημένα αρχεία δεν προσφέρει κανένα στοιχείο επειδή δεν έχει χρησιμοποιηθεί από πολλούς απειλητικούς παράγοντες.
Ενώ οι λίγες πληροφορίες που παρείχε ηCSIRT της Χιλής σχετικά με τη συμπεριφορά του κακόβουλου λογισμικού δείχνουν το ransomware «RedAlert» (γνωστό και ως «N13V»), οι τεχνικές λεπτομέρειες μιας επιχείρησης που έτρεχε τον Ιούλιο του 2022 υποδηλώνουν άλλα πράγματα.
Το RedAlert ransomware έχει χρησιμοποιήσει την επέκταση “.crypt” σε επιθέσεις. Ωστόσο, τα indicators of compromise (IoCs) στην ανακοίνωση CSIRT της Χιλής είτε συνδέονται με το Conti είτε επιστρέφουν ένα ασαφές αποτέλεσμα όταν τροφοδοτούνται με αυτοματοποιημένα συστήματα ανάλυσης.
Η Conti είχε συνδεθεί στο παρελθόν με επιθέσεις σε ολόκληρα έθνη, όπως αυτή στην Κόστα Ρίκα τον Ιούλιο του 2022, η οποία χρειάστηκε πέντε ημέρες από την απόκτηση αρχικής πρόσβασης στην κλοπή και την κρυπτογράφηση των συστημάτων.
Ο Χιλιανός αναλυτής απειλών Germán Fernández είπε στο BleepingComputer ότι το στέλεχος φαίνεται να είναι εντελώς νέο και οι ερευνητές με τους οποίους μίλησε δεν μπορούσαν να συσχετίσουν το malware με κάποιο από τα όσα γνωρίζουμε.
Δείτε επίσης: Instagram phishing: Οι χρήστες δελεάζονται με blue badges
Ο οργανισμός κυβερνοασφάλειας της Χιλής συνιστά σε όλες τις κρατικές οντότητες καθώς και σε μεγάλους ιδιωτικούς οργανισμούς στη χώρα να εφαρμόσουν τα ακόλουθα μέτρα:
- Χρησιμοποιήστε ένα σωστά διαμορφωμένο firewall και antivirus
- Ενημερώστε τα assets του VMware και της Microsoft
- Διατηρήστε backups των πιο σημαντικών δεδομένων
- Επαληθεύστε τη διαμόρφωση των φίλτρων anti-spam και εκπαιδεύστε τους υπαλλήλους να αναγνωρίζουν τα κακόβουλα email
- Εφαρμόστε την τμηματοποίηση δικτύου και εφαρμόστε την αρχή των ελάχιστων προνομίων
- Μείνετε ενημερωμένοι για νέα τρωτά σημεία που χρειάζονται άμεση επιδιόρθωση ή mitigation
Πηγή πληροφοριών: bleepingcomputer.com
 ανακοίνωσε ότι μια επίθεση ransomware...){kind=link}