Новости От Чили до Аргентины: вирус-вымогатель угрожает телекоммуникациям Латинской Америки

NewsMaker

I'm just a script
Премиум
13,854
20
8 Ноя 2022
Сначала чилийская армия, потом оператор GTD. Связаны ли эти инциденты и чего добиваются хакеры?


fgfz8zul7tt1njjjjxgj5vsv4fntrrqa.jpg


Чилийская телекоммуникационная компания, Grupo GTD, предоставляющая услуги клиентам по всей Латинской Америке, подверглась масштабной кибератаке. Инцидент нарушил работу сервисов IaaS («инфраструктуры как услуги») и привел к перебоям в работе онлайн-ресурсов.

Злоумышленники атаковали системы GTD утром 23 октября. «Под раздачу» в том числе попали такие сервисы, как центр обработки данных и голосовая связь по IP, а также пострадало качество интернет-соединения на всех серверах.

Чтобы предотвратить дальнейшее распространение вредоносного ПО, специалисты компании вынуждены были полностью отключить инфраструктуру IaaS.

Сегодня Чилийская группа реагирования на киберинциденты (CSIRT) Для просмотра ссылки Войди или Зарегистрируйся , что речь идёт об атаке вируса-вымогателя. CSIRT потребовала, чтобы все государственные учреждения, использующие услуги IaaS компании GTD, незамедлительно уведомили об этом правительство и провели сканирование своих систем на предмет компрометации.

Хотя точное название вредоносной программы пока не разглашается, источники сообщают, что речь идёт о ранее неизвестном варианте вымогателя Rorschach. Этот шифровальщик впервые был обнаружен экспертами Check Point в апреле 2023 года в ходе расследования кибератаки на одну из крупных американских фирм.

Как отмечают специалисты, Rorschach является очень сложным и быстродействующим вирусом-вымогателем. Он может зашифровать абсолютно все файлы на устройстве всего за 4 минуты и 30 секунд. Пока что исследователи не смогли связать его ни с одной из известных группировок.

Согласно официальному отчету, хакеры воспользовались уязвимостями в технологии подмены DLL-библиотек в легальных программах от Trend Micro, BitDefender и Cortex XDR.

Это позволило загрузить в системы GTD библиотеку, которая на самом деле являлась инжектором (загрузчиком) Rorschach. Инжектор внедрил в открытое на компьютере приложение Блокнот вредоносный код, замаскированный под конфигурационный файл с именем "config[.]ini". После внедрения вымогатель начал незаметное пофайловое шифрование всех данных на зараженном устройстве.

CSIRT также обнародовала технические детали, связанные с атакой. В частности, были названы имена исполняемых файлов u.exe и d.exe от TrendMicro и BitDefender. Именно эти легальные программы использовались злоумышленниками для подмены библиотек и запуска вредоносной программы.

Ранее в этом году Для просмотра ссылки Войди или Зарегистрируйся вируса-вымогателя Rhysida была совершена в отношении чилийских вооруженных сил. Тогда хакеры похитили и опубликовали в открытом доступе более 300 тысяч конфиденциальных документов.

Представители Grupo GTD пока не дают комментариев по поводу дополнительных подробностей инцидента.
 
Источник новости
www.securitylab.ru

Похожие темы