От Чили до Аргентины: вирус-вымогатель угрожает телекоммуникациям Латинской Америки

Чилийская телекоммуникационная компания, Grupo GTD, предоставляющая услуги клиентам по всей Латинской Америке, подверглась масштабной кибератаке. Инцидент нарушил работу сервисов IaaS («инфраструктуры как услуги») и привел к перебоям в работе онлайн-ресурсов.

Злоумышленники атаковали системы GTD утром 23 октября. «Под раздачу» в том числе попали такие сервисы, как центр обработки данных и голосовая связь по IP, а также пострадало качество интернет-соединения на всех серверах.

Чтобы предотвратить дальнейшее распространение вредоносного ПО, специалисты компании вынуждены были полностью отключить инфраструктуру IaaS.

Сегодня Чилийская группа реагирования на киберинциденты (CSIRT) официально подтвердила , что речь идёт об атаке вируса-вымогателя. CSIRT потребовала, чтобы все государственные учреждения, использующие услуги IaaS компании GTD, незамедлительно уведомили об этом правительство и провели сканирование своих систем на предмет компрометации.

Хотя точное название вредоносной программы пока не разглашается, источники сообщают, что речь идёт о ранее неизвестном варианте вымогателя Rorschach. Этот шифровальщик впервые был обнаружен экспертами Check Point в апреле 2023 года в ходе расследования кибератаки на одну из крупных американских фирм.

Как отмечают специалисты, Rorschach является очень сложным и быстродействующим вирусом-вымогателем. Он может зашифровать абсолютно все файлы на устройстве всего за 4 минуты и 30 секунд. Пока что исследователи не смогли связать его ни с одной из известных группировок.

Согласно официальному отчету, хакеры воспользовались уязвимостями в технологии подмены DLL-библиотек в легальных программах от Trend Micro, BitDefender и Cortex XDR.

Это позволило загрузить в системы GTD библиотеку, которая на самом деле являлась инжектором (загрузчиком) Rorschach. Инжектор внедрил в открытое на компьютере приложение Блокнот вредоносный код, замаскированный под конфигурационный файл с именем "config[.]ini". После внедрения вымогатель начал незаметное пофайловое шифрование всех данных на зараженном устройстве.

CSIRT также обнародовала технические детали, связанные с атакой. В частности, были названы имена исполняемых файлов u.exe и d.exe от TrendMicro и BitDefender. Именно эти легальные программы использовались злоумышленниками для подмены библиотек и запуска вредоносной программы.

Ранее в этом году аналогичная атака вируса-вымогателя Rhysida была совершена в отношении чилийских вооруженных сил. Тогда хакеры похитили и опубликовали в открытом доступе более 300 тысяч конфиденциальных документов.

Представители Grupo GTD пока не дают комментариев по поводу дополнительных подробностей инцидента.