Gigante de telecomunicações do Chile GTD, atingida pela gangue de ransomware Rorschach.
26 de Outubro de 2023

O Grupo GTD do Chile alerta que um ataque cibernético afetou a sua plataforma de Infraestrutura como Serviço (IaaS), interrompendo serviços online.

O Grupo GTD é uma empresa de telecomunicações que oferece serviços em toda a América Latina, com presença no Chile, Espanha, Colômbia e Peru.

A empresa fornece vários serviços de TI, incluindo acesso à internet, telefonia móvel e fixa, e serviços gerenciados de data center e TI.

Na manhã de 23 de outubro, a GTD sofreu um ataque cibernético que impactou vários serviços, incluindo seus data centers, acesso à internet e Voz sobre IP (VoIP).

"Entendemos a importância de uma comunicação proativa e fluída diante de incidentes, portanto, de acordo com o que discutimos previamente por telefone, gostaria de informar que estamos experimentando um impacto parcial nos serviços como resultado de um incidente de segurança cibernética", lê-se uma notificação de incidente de segurança da GTD.

"Este impacto está limitado a parte de nossa plataforma Iaas e alguns serviços compartilhados (serviços de telefonia IP, VPNs e sistema de televisão OTT). Nosso COR de comunicação, bem como nosso ISP, estão funcionando normalmente."

Para prevenir a propagação do ataque, a empresa desconectou sua plataforma IaSS da internet, levando a esses cortes.

Hoje, a Equipe de Resposta a Incidentes de Segurança de Computadores do Chile (CSIRT) confirmou que a GTD sofreu um ataque de ransomware.

"O Time de Resposta a Incidentes de Segurança de Computadores (CSIRT do Governo) do Ministério do Interior e Segurança Pública foi informado pela empresa GTD sobre um ransomware que afetou parte de suas plataformas IaaS durante a manhã de segunda-feira, 23 de outubro", lê-se em uma declaração traduzida automaticamente no site do CSIRT.

"Como consequência, alguns serviços públicos em nosso país apresentaram indisponibilidade em seus sites."

O CSIRT está exigindo que todas as instituições públicas que utilizam os serviços IaaS da GTD notifiquem o governo conforme o decreto nº 273, que exige que todas as agências estaduais informem quando um incidente de segurança cibernética pode impactá-las.

Embora o CSIRT não tenha divulgado o nome da operação de ransomware por trás do ataque à GTD, o BleepingComputer descobriu que envolveu a variante de ransomware Rorschach previamente vista em um ataque a uma empresa dos EUA.

O ransomware Rorschach (também conhecido como BabLock) é um novo encriptador visto pela Check Point Research em abril de 2023. Embora os pesquisadores não pudessem vincular o encriptador a uma gangue de ransomware específica, eles alertaram que ele era sofisticado e muito rápido, capaz de criptografar um dispositivo em 4 minutos e 30 segundos.

Em um relatório sobre o ataque à GTD visto pelo BleepingComputer, os atores da ameaça estão utilizando vulnerabilidades de sideloading de DLL em executáveis legítimos da Trend Micro, BitDefender e Cortex XDR para carregar uma DLL maliciosa.

Este DLL é o injetor Rorschach, que injetará uma carga útil de ransomware chamada "config[.]ini" em um processo do Bloco de Notas. Uma vez carregado, o ransomware começará a criptografar arquivos no dispositivo.

O CSIRT compartilhou os seguintes IOCs relacionados ao ataque à GTD abaixo, com u.exe e d.exe sendo executáveis legítimos da TrendMicro e BitDefender usados no ataque e os DLLs contendo o malware.

O CSIRT do Chile recomenda que todas as organizações conectadas à IaaS da GTD sigam as seguintes etapas para confirmar que não foram violadas no ataque:

- Faça uma varredura completa de sua infraestrutura com antivírus.
- Verifique se não há software suspeito em seus sistemas.
- Verifique as contas existentes em seu servidor e confira se nenhuma conta nova foi criada.
- Analise o desempenho do processamento e do disco rígido para garantir que ele não tenha sido alterado.
- Verifique se há algum tipo de variação nas informações ou vazamento de dados da empresa e de seus bancos de dados.
- Cheque o tráfego da sua rede.
- Mantenha um registro atualizado de seus sistemas para garantir um monitoramento eficaz.
- Restrinja o acesso via SSH aos servidores, apenas se estritamente necessário.

No início deste ano, a organização militar chilena sofreu um ataque de ransomware Rhysida, onde a BleepingComputer foi informada que os atores da ameaça divulgaram 360.000 documentos roubados do governo.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...