O Grupo GTD do Chile alerta que um ataque cibernético afetou a sua plataforma de Infraestrutura como Serviço (IaaS), interrompendo serviços online.
O Grupo GTD é uma empresa de telecomunicações que oferece serviços em toda a América Latina, com presença no Chile, Espanha, Colômbia e Peru.
A empresa fornece vários serviços de TI, incluindo acesso à internet, telefonia móvel e fixa, e serviços gerenciados de data center e TI.
Na manhã de 23 de outubro, a GTD sofreu um ataque cibernético que impactou vários serviços, incluindo seus data centers, acesso à internet e Voz sobre IP (VoIP).
"Entendemos a importância de uma comunicação proativa e fluída diante de incidentes, portanto, de acordo com o que discutimos previamente por telefone, gostaria de informar que estamos experimentando um impacto parcial nos serviços como resultado de um incidente de segurança cibernética", lê-se uma notificação de incidente de segurança da GTD.
"Este impacto está limitado a parte de nossa plataforma Iaas e alguns serviços compartilhados (serviços de telefonia IP, VPNs e sistema de televisão OTT). Nosso COR de comunicação, bem como nosso ISP, estão funcionando normalmente."
Para prevenir a propagação do ataque, a empresa desconectou sua plataforma IaSS da internet, levando a esses cortes.
Hoje, a Equipe de Resposta a Incidentes de Segurança de Computadores do Chile (CSIRT) confirmou que a GTD sofreu um ataque de ransomware.
"O Time de Resposta a Incidentes de Segurança de Computadores (CSIRT do Governo) do Ministério do Interior e Segurança Pública foi informado pela empresa GTD sobre um ransomware que afetou parte de suas plataformas IaaS durante a manhã de segunda-feira, 23 de outubro", lê-se em uma declaração traduzida automaticamente no site do CSIRT.
"Como consequência, alguns serviços públicos em nosso país apresentaram indisponibilidade em seus sites."
O CSIRT está exigindo que todas as instituições públicas que utilizam os serviços IaaS da GTD notifiquem o governo conforme o decreto nº 273, que exige que todas as agências estaduais informem quando um incidente de segurança cibernética pode impactá-las.
Embora o CSIRT não tenha divulgado o nome da operação de ransomware por trás do ataque à GTD, o BleepingComputer descobriu que envolveu a variante de ransomware Rorschach previamente vista em um ataque a uma empresa dos EUA.
O ransomware Rorschach (também conhecido como BabLock) é um novo encriptador visto pela Check Point Research em abril de 2023. Embora os pesquisadores não pudessem vincular o encriptador a uma gangue de ransomware específica, eles alertaram que ele era sofisticado e muito rápido, capaz de criptografar um dispositivo em 4 minutos e 30 segundos.
Em um relatório sobre o ataque à GTD visto pelo BleepingComputer, os atores da ameaça estão utilizando vulnerabilidades de sideloading de DLL em executáveis legítimos da Trend Micro, BitDefender e Cortex XDR para carregar uma DLL maliciosa.
Este DLL é o injetor Rorschach, que injetará uma carga útil de ransomware chamada "config[.]ini" em um processo do Bloco de Notas. Uma vez carregado, o ransomware começará a criptografar arquivos no dispositivo.
O CSIRT compartilhou os seguintes IOCs relacionados ao ataque à GTD abaixo, com u.exe e d.exe sendo executáveis legítimos da TrendMicro e BitDefender usados no ataque e os DLLs contendo o malware.
O CSIRT do Chile recomenda que todas as organizações conectadas à IaaS da GTD sigam as seguintes etapas para confirmar que não foram violadas no ataque:
- Faça uma varredura completa de sua infraestrutura com antivírus.
- Verifique se não há software suspeito em seus sistemas.
- Verifique as contas existentes em seu servidor e confira se nenhuma conta nova foi criada.
- Analise o desempenho do processamento e do disco rígido para garantir que ele não tenha sido alterado.
- Verifique se há algum tipo de variação nas informações ou vazamento de dados da empresa e de seus bancos de dados.
- Cheque o tráfego da sua rede.
- Mantenha um registro atualizado de seus sistemas para garantir um monitoramento eficaz.
- Restrinja o acesso via SSH aos servidores, apenas se estritamente necessário.
No início deste ano, a organização militar chilena sofreu um ataque de ransomware Rhysida, onde a BleepingComputer foi informada que os atores da ameaça divulgaram 360.000 documentos roubados do governo.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...