[Esta publicación tiene actualizaciones al final del artículo]
Durante el fin de semana, CronUp fue alertado por un ataque en curso en una organización militar, lo que activo nuestro monitoreo dirigido.
Ayer Lunes 29 de Mayo, el Ejército de Chile confirmó que se encuentra respondiendo a un ciberataque que afectó a distintos sistemas de la red interna de la organización el pasado Sábado 27 de Mayo. Por lo anterior, se instruyó no encender computadores, no conectarse a la red VPN y la prohibición de conectar cualquier tipo de dispositivo de almacenamiento externo. Este preocupante incidente pone en evidencia la creciente amenaza que representan los ciberataques para las instituciones gubernamentales y militares en Latinoamérica.
El comunicado, además, indica que se dispuso a aislar la red e iniciar las auditorías correspondientes por parte de los organismos de ciberseguridad para la recuperación y puesta en marcha de la red en forma segura. Claramente este párrafo habla de un ataque disruptivo tipo ransomware, lo que fue confirmado en paralelo también por el CSIRT de Gobierno.
El ataque ha sido atribuido al nuevo grupo de ransomware llamado Rhysida.
Adicionalmente, nuestro monitoreo detectó que durante el fin de semana los sitios web del Ejercito mantuvieron una disponibilidad intermitente, lo que podría indicar los trabajos internos por aislar y/o proteger la red corporativa.
Sobre Rhysida Ransomware:
La campaña de Rhysida, fue descubierta el reciente 17 de mayo de 2023 por MalwareHunterTeam.
El grupo se ve a sí mismo como un «equipo de ciberseguridad» que hace un favor a sus víctimas: atacan los sistemas y destacan las «ramificaciones potenciales» de los problemas de seguridad implicados. El grupo amenaza a las víctimas con la distribución pública de los datos exfiltrados en la Dark Web, lo que lo sitúa en la línea de los grupos modernos de «multiextorsión».
Un análisis más técnico sobre este ransomware se puede encontrar en el artículo Scratching the Surface of Rhysida Ransomware de Secplicity.
Las muestras analizadas del ransomware Rhysida indican que el grupo se encuentra en las primeras fases del ciclo de desarrollo. Sus cargas útiles carecen de muchas funciones básicas que son sinónimo de ransomware del actual (por ejemplo, eliminación de VSS). Sus funciones de sustitución de imágenes de fondo también parecen funcionar mal.
Las víctimas deben ponerse en contacto con los atacantes a través de su portal basado en TOR, utilizando el identificador único de Rhysida (proporcionado en las notas del rescate). Rhysida sólo acepta pagos en BTC (Bitcoin), proporcionando también información sobre la compra y uso de BTC en el portal de la víctima. Una vez que las víctimas introducen su identificador único en el portal de pago, el grupo les proporciona un formulario adicional para introducir la autenticación, los datos de contacto y otra información.
Una característica particular sobre este ransomware es que al momento de ejecutar se presenta una pantalla con los logs y registros de eventos durante el proceso de encriptado.
Otro hecho particular de esta familia de ransomware es que presentan la nota de rescate en un documento PDF llamado CriticalBreachDetected.pdf, el contenido de la nota se muestra a continuación.
Adicionalmente, el ransomware intenta modificar el fondo de pantalla del equipo con un imagen que deja en la ruta «C:\Users\Public\bg.jpg«.
El sitio de filtraciones de Rhysida en la Dark Web, aún no presenta ninguna de sus víctimas pero se sabe que es un grupo activo y en desarrollo.
Muestra del Ransomware
El día 17 de mayo, MalwareHunterTeam compartió un hash de referencia para este ransomware.
IMPORTANTE, estos IOC no son los utilizados en el ataque al Ejercito de Chile.
Nombre original del archivo: fury_ctm1042.bin
- MD5: 0c8e88877383ccd23a755f429006b437
- SHA1: 69b3d913a3967153d1e91ba1a31ebed839b297ed
- SHA256: a864282fea5a536510ae86c77ce46f7827687783628e4f2ceb5bf2c41b8cd3c6
La muestra puede descargarse también desde Bazaar de Abuse.ch:
https://bazaar.abuse.ch/sample/a864282fea5a536510ae86c77ce46f7827687783628e4f2ceb5bf2c41b8cd3c6
Actualización – 03/06/2023 – 9:39 PM
Rhysida inicia la publicación de sus primeras víctimas en su blog en la Dark Web, por el momento, el Ejército de Chile no se encuentra en los registros.
Actualización – 05/06/2023 – 16:10 PM
Un antecedente importante en esta historia, la Policía de Investigaciones de Chile detuvo a un cabo del Ejercito por su presunta participación en el ataque, adicionalmente, se le decomisaron diversos dispositivos electrónicos que actualmente están siendo periciados por la PDI. El individuo ha sido procesado por el delito de violación a la ley de delitos informáticos y, como resultado, ha sido puesto en prisión preventiva mientras continúa la investigación.
Fuente: La Tercera
Actualización – 09/06/2023 – 07:27 AM
Rhysida publica al Ejercito de Chile en su sitio en la Dark Web y pone en subasta los datos robados en el Ciberataque.
Alerta Temprana de Riesgos Cibernéticos
Gestión de la Superficie de Ataque
Cyber Threat Intelligence
