17.06.2023 | Программа-вымогатель Rhysida похищает секретные документы чилийской армии |
Злоумышленники, стоящие за раскрытой недавно вредоносной кампанией с использованием программы-вымогателя Rhysida, опубликовали в Интернете то, что, по их утверждению, является высокочувствительными документами, украденными из сети чилийской армии. Утечка произошла после того, как 29 мая чилийская армия подтвердила, что её системы пострадали в результате инцидента с безопасностью, впервые обнаруженного 27 мая. Об этом сообщила местная фирма по кибербезопасности под названием CronUp . После обнаружения взлома сеть была изолирована, и эксперты по военной безопасности начали процесс восстановления затронутых систем. Через несколько дней после раскрытия атаки местные СМИ сообщили , что местный армейский капрал был арестован по обвинению в причастности к данной вымогательской атаке. «Вымогатели Rhysida опубликовали около 360 тысяч документов чилийской армии (и, согласно их данным, это всего лишь 30%)», — проинформировал Герман Фернандес, исследователь CronUp. Примечательно, что Rhysida описывает себя как «команду кибербезопасности», цель которой — помочь жертвам обезопасить свои сети Такой интересный подход ко взлому чем-то напоминает вымогателей Clop, которые «проводят пентест постфактум». Впервые хакеры Rhysida были замечены исследователями MalwareHunterTeam 17 мая этого года. С тех пор группа вымогателей уже добавила восемь жертв на свой сайт утечки данных в даркнете и опубликовала все украденные файлы для пяти из них. По данным SentinelOne, участники угроз Rhysida проникают в сети своих жертв с помощью фишинговых атак и сбрасывают полезную нагрузку на скомпрометированные системы после первоначального развёртывания Cobalt Strike или аналогичных C2 -платформ. Проанализированные исследователями образцы вредоносных программ используют алгоритм ChaCha20, и, судя по данным специалистов, инструментарий Rhysida всё ещё находится в разработке, поскольку в нём отсутствуют функции, которыми по умолчанию обладают большинство других разновидностей программ-вымогателей. После выполнения программа запускает окно «cmd.exe», сканирует локальные диски и шифрует данные. После завершения работы вредонос сбрасывает по системе заметки о выкупе в формате PDF с именем CriticalBreachDetected.pdf. В заметке жертвы перенаправляются на портал утечки информации банды, где им предлагается ввести свой уникальный идентификатор, чтобы получить доступ к платежным инструкциям. «Несмотря на то, что в инструментарии вымогателей пока отсутствуют многие стандартные функции, группа угрожает жертвам публичным распространением эксфильтрованных данных, что ставит их в один ряд с современными группами вымогателей», — подытожили специалисты SentinelOne.
|
Проверить безопасность сайта