El Ejército de Chile confirmó que se encuentra respondiendo a un
ciberataque que afectó a distintos sistemas de la red interna de la
organización El grupo de ransomware se ve a sí mismo como un «equipo de ciberseguridad» que hace un
favor a sus víctimas: atacan los sistemas y destacan las
«ramificaciones potenciales» de los problemas de seguridad implicados.
El grupo amenaza a las víctimas con la distribución pública de los datos
exfiltrados en la Dark Web, lo que lo sitúa en la línea de los grupos
modernos de «multiextorsión».
- Los autores de una operación de ransomware conocida como Rhysida han filtrado en Internet lo que afirman ser documentos robados de la red del Ejército de Chile.
La filtración se produce después de que el Ejército de Chile confirmara el 29 de mayo que sus sistemas se vieron afectados en un incidente de seguridad detectado durante el fin de semana del 27 de mayo, según un comunicado.
La red quedó aislada tras la brecha y los expertos en seguridad militar iniciaron el proceso de recuperación de los sistemas afectados.
El ejército informó del incidente al Equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT) del Estado Mayor Conjunto y al Ministerio de Defensa Nacional.
Días después de conocerse el ataque, los medios de comunicación locales informaron de que un cabo del Ejército había sido detenido y acusado por su implicación en el ataque de ransomware.
La banda de ransomware Rhysida ha publicado ahora el 30% de todos los datos que dicen haber robado de la red del Ejército chileno, después de haberlos añadido inicialmente a su sitio de filtración de datos y haber reivindicado el ataque.
"El ransomware Rhysida publicó alrededor de 360.000 documentos del Ejército de Chile (y según ellos, es sólo el 30%)", dijo el investigador de seguridad de CronUp, Germán Fernández
La banda de ransomware Rhysida se describe a sí misma como un "equipo de ciberseguridad" que pretende ayudar a las víctimas a proteger sus redes, y fue detectada por primera vez por MalwareHunterTeam el 17 de mayo de 2023.
Desde entonces, el grupo de ransomware ya ha añadido ocho víctimas a su sitio de filtración de datos de la Dark Web y ha publicado todos los archivos robados de cinco de ellas.
Según SentinelOne, las amenazas de Rhysida acceden a las redes de los objetivos mediante ataques de phishing y lanzan cargas útiles a los sistemas comprometidos tras desplegar primero Cobalt Strike o marcos de mando y control (C2) similares.
Las muestras analizadas hasta ahora muestran que el malware de la banda utiliza el algoritmo ChaCha20, que todavía está en desarrollo, ya que carece de características que la mayoría de las otras cepas de ransomware vienen por defecto.
Una vez ejecutado, lanza una ventana cmd.exe, comienza a escanear las unidades locales y suelta notas de rescate en PDF llamadas CriticalBreachDetected.pdf después de cifrar los archivos de las víctimas.
Nota de rescate de Rhysida
Las víctimas son redirigidas al portal de fugas Tor de la banda, donde se les dice que introduzcan el identificador único de las notas de rescate para acceder a las instrucciones de pago.
"Las cargas útiles carecen de muchas funciones básicas, como la eliminación de VSS, que son sinónimo del ransomware actual", afirma SentinelOne.
Un análisis más técnico sobre este ransomware se puede encontrar en el artículo Scratching the Surface of Rhysida Ransomware de Secplicity.
Las
muestras analizadas del ransomware Rhysida indican que el grupo se
encuentra en las primeras fases del ciclo de desarrollo. Sus cargas
útiles carecen de muchas funciones básicas que son sinónimo de
ransomware del actual (por ejemplo, eliminación de VSS). Sus funciones
de sustitución de imágenes de fondo también parecen funcionar mal.
Las
víctimas deben ponerse en contacto con los atacantes a través de su
portal basado en TOR, utilizando el identificador único de Rhysida
(proporcionado en las notas del rescate). Rhysida sólo acepta pagos en
BTC (Bitcoin), proporcionando también información sobre la compra y uso
de BTC en el portal de la víctima. Una vez que las víctimas introducen
su identificador único en el portal de pago, el grupo les proporciona un
formulario adicional para introducir la autenticación, los datos de
contacto y otra información.
"Dicho esto, el grupo amenaza a las víctimas con la distribución pública de los datos exfiltrados, poniéndolos en línea con los grupos de multi-extorsión modernos".
Fuentes:
No hay comentarios:
Publicar un comentario