Η εθνική ομάδα ασφάλειας υπολογιστών και αντιμετώπισης περιστατικών της Χιλής (CSIRT) ανακοίνωσε ότι μια επίθεση ransomware έχει επηρεάσει τις λειτουργίες και τις διαδικτυακές υπηρεσίες μιας κυβερνητικής υπηρεσίας στη χώρα.
Η επίθεση ξεκίνησε την Πέμπτη 25 Αυγούστου, με στόχο τους διακομιστές Microsoft και VMware ESXi που διαχειρίζεται η υπηρεσία.
Οι χάκερ σταμάτησαν όλες τις εικονικές μηχανές που λειτουργούσαν και κρυπτογραφούσαν τα αρχεία τους, προσθέτοντας την επέκταση ονόματος αρχείου “.crypt”.
Το ransomware θα χρησιμοποιούσε τον αλγόριθμο κρυπτογράφησης δημόσιου κλειδιού NTRUEncrypt, στοχεύοντας αρχεία καταγραφής (.log), εκτελέσιμα αρχεία (.exe), αρχεία δυναμικής βιβλιοθήκης (.dll), αρχεία ανταλλαγής (.vswp), εικονικούς δίσκους (. vmdk), στιγμιότυπο ( αρχεία .vmsn) και αρχεία μνήμης εικονικής μηχανής (.vmem), μεταξύ άλλων,” – Chile CSIRT
Σύμφωνα με το CSIRT, το κακόβουλο λογισμικό που χρησιμοποιήθηκε σε αυτήν την επίθεση είχε επίσης λειτουργίες για κλοπή διαπιστευτηρίων από προγράμματα περιήγησης ιστού, λίστα αφαιρούμενων συσκευών για κρυπτογράφηση και αποφυγή Ανίχνευση προστασίας από ιούς με χρήση χρονικών ορίων εκτέλεσης.
Με τυπικό τρόπο διπλής εκβίασης, οι εισβολείς πρόσφεραν στο CSIRT της Χιλής ένα κανάλι επικοινωνίας για να διαπραγματευτεί την πληρωμή λύτρων που θα απέτρεπε τη διαρροή των αρχείων και θα ξεκλειδώσει τα κρυπτογραφημένα δεδομένα.
Ο εισβολέας έθεσε προθεσμία τριών ημερών και απείλησε να πουλήσει τα κλεμμένα δεδομένα σε άλλους εγκληματίες του κυβερνοχώρου στον σκοτεινό ιστό.