Şili Ulusal Bilgisayar Güvenliği ve Olay Müdahale Ekibi (CSIRT), fidye yazılımı saldırısının ülkedeki bir devlet kurumunun operasyonlarını ve çevrimiçi hizmetlerini etkilediğini açıkladı.
Saldırı 25 Ağustos Perşembe günü başladı ve ajans tarafından işletilen Microsoft ve VMware ESXI sunucularını hedef aldı.
Bilgisayar korsanları tüm sanal makineleri çalıştırdı ve dosyalarını şifreledi ve ".Crypt" dosya adı uzantısını ekledi.
"Fidye yazılımı, NTRUEncrypt genel anahtar şifreleme algoritmasını, günlük dosyalarını (.log) hedefleme, yürütülebilir dosyalar (.exe), dinamik kütüphane dosyaları (.dll), takas dosyaları (.vswp), sanal diskler (. Vmdk), Snapshot kullanır. (.VMSN) Dosyalar ve Sanal Makine Bellek (.VMem) Dosyaları, diğerlerinin yanı sıra " -Şili CSIRT
CSIRT'ye göre, bu saldırıda kullanılan kötü amaçlı yazılımların web tarayıcılarından kimlik bilgilerini çalmak, şifreleme için çıkarılabilir cihazları listeleme ve yürütme zaman aşımlarını kullanarak antivirüs algılamasından kaçma işlevleri vardı.
Tipik çift genişlemeli tarzda, davetsiz misafirler, Dosyaların sızmasını ve şifrelenmiş verilerin kilidini açacak bir fidye ödemesini müzakere etmek için Şili'nin CSIRT'ye bir iletişim kanalı sundular.
Saldırgan üç günlük bir son tarih belirledi ve çalınan verileri karanlık ağdaki diğer siber suçlulara satmakla tehdit etti.
Şili'nin CSIRT duyurusu, fidye yazılımı grubunun saldırıdan sorumlu olduğunu veya kötü amaçlı yazılımın tanımlanmasına yol açan yeterli ayrıntılar sağlamaz.
Şifrelenmiş dosyalara eklenen uzantı, birden fazla tehdit aktörleri tarafından kullanıldığı için herhangi bir ipucu sunmaz.
Şili'nin CSIRT, kötü amaçlı yazılımların davranışları hakkında sağlanan küçük bilgi 'Redalert' fidye yazılımlarına (aka "N13V") işaret ederken, Temmuz 2022'de başlatılan bir operasyon, teknik detaylar aksini öne sürüyor.
Redalert fidye yazılımı, ".Crypt" uzantısını saldırılarda kullandı, hem Windows sunucularını hem de Linux VMware ESXI makinelerini hedefler, şifrelemeden önce tüm çalışanları zorla durdurabilir ve ntruEncrypt genel anahtar şifreleme algoritmasını kullanır.
Bununla birlikte, Şili'nin CSIRT duyurusundaki uzlaşma göstergeleri (IOC'ler) ya Conti ile ilişkilidir veya otomatik analiz sistemlerine beslendiğinde sonuçsuz bir sonuç getirir.
Conti, daha önce Temmuz 2022'de Kosta Rika'daki gibi tüm uluslara yapılan saldırılarla bağlantılı olmuştu ve bu da sistemlerin çalınmasına ve şifrelemesine ilk erişim elde etmekten beş gün sürdü.
Chilean tehdidi analisti Germán Fernández, BleepingComputer'a gerginliğin tamamen yeni göründüğünü ve konuştuğu araştırmacıların kötü amaçlı yazılımları bilinen ailelerle ilişkilendiremediğini söyledi.
Fernandez ayrıca fidye notunun enfeksiyon sırasında üretilmediğini, BleepingComputer'ın onaylayabileceği bir ayrıntı olduğunu söyledi. Araştırmacı, notun dosya kilitleyen kötü amaçlı yazılımları dağıtmadan önce teslim edildiğini söyledi.
"Saldırı ile ilgili özel bir şey, tehdit aktörlerinin fidye notunu önceki bir aşamada fidye yazılımının nihai yük olarak dağıtılmasına, muhtemelen kaçınma sorunları için dağıtması veya nihai örneği paylaşırken iletişim bilgilerinin sızmasını önlemesidir. " -Germán Fernández
BleepingComputer, saldırı için kullanılan kötü amaçlı yazılımların birden fazla örneğini analiz edebildi ve aşağıda görülen 'Readme_For_Unlock.txt' adlı bir fidye notunu aldı:
Tüm fidye, BleepingComputer'ın bu fidye yazılımı suşunu analiz ederken gördüğü notlar, TOR ağındaki benzersiz bir web sitesine ve giriş yapmak için bir şifre içeriyor.
Bu fidye yazılımı için bir veri sızıntısı sitesi gördüğümüz kadarıyla henüz mevcut değil. TOR sitesi, kurbanların bilgisayar korsanlarıyla iletişim kurabileceği bir mesaj kutusu göstermek içindir.
Yukarıdaki iletişim kanalına erişmek, fidye notunda yer alan bir şifre gerektirir.
Kötü amaçlı yazılım kendisini Windows girişinde başlatacak şekilde yapılandırır ve SecurityPupdate adını başlatır.
BleepingComputer'ın bu fidye yazılımı hakkında şimdiye kadar öğrenebileceği şeyden, bu Ağustos başında başlatılan yeni bir operasyon.
Şili'nin Siber Güvenlik Örgütü, aşağıdaki önlemleri uygulamak için ülkedeki tüm devlet kuruluşlarının yanı sıra büyük özel kuruluşların yanı sıra önermektedir:
Şili CSIRT, savunucuların kuruluşlarını korumak için kullanabileceği saldırıda kullanılan dosyalar için bir dizi uzlaşma göstergesi sağlamıştır.
Yeni Gwisinlocker Ransomware Windows ve Linux ESXI sunucularını şifreliyor
Ransomware'de Hafta - 22 Temmuz 2022 - Saldırılar bol
Yeni Luna Fidye Yazılımı Windows, Linux ve ESXI Sistemleri Şifreliyor
San Francisco 49ers: Blackbyte Fidye Yazılımı Çetesi 20 bin kişinin bilgisini çaldı
Hive Ransomware tarafından vurulan Damart giyim mağazası, 2 milyon dolar talep etti
Kaynak: Bleeping Computer