Gigante de telecomunicações do Chile GTD, atingida pela gangue de ransomware Rorschach.
26 de Outubro de 2023

O Grupo GTD do Chile alerta que um ataque cibernético afetou a sua plataforma de Infraestrutura como Serviço (IaaS), interrompendo serviços online.

O Grupo GTD é uma empresa de telecomunicações que oferece serviços em toda a América Latina, com presença no Chile, Espanha, Colômbia e Peru.

A empresa fornece vários serviços de TI, incluindo acesso à internet, telefonia móvel e fixa, e serviços gerenciados de data center e TI.

Na manhã de 23 de outubro, a GTD sofreu um ataque cibernético que impactou vários serviços, incluindo seus data centers, acesso à internet e Voz sobre IP (VoIP).

"Entendemos a importância de uma comunicação proativa e fluída diante de incidentes, portanto, de acordo com o que discutimos previamente por telefone, gostaria de informar que estamos experimentando um impacto parcial nos serviços como resultado de um incidente de segurança cibernética", lê-se uma notificação de incidente de segurança da GTD.

"Este impacto está limitado a parte de nossa plataforma Iaas e alguns serviços compartilhados (serviços de telefonia IP, VPNs e sistema de televisão OTT). Nosso COR de comunicação, bem como nosso ISP, estão funcionando normalmente."

Para prevenir a propagação do ataque, a empresa desconectou sua plataforma IaSS da internet, levando a esses cortes.

Hoje, a Equipe de Resposta a Incidentes de Segurança de Computadores do Chile (CSIRT) confirmou que a GTD sofreu um ataque de ransomware.

"O Time de Resposta a Incidentes de Segurança de Computadores (CSIRT do Governo) do Ministério do Interior e Segurança Pública foi informado pela empresa GTD sobre um ransomware que afetou parte de suas plataformas IaaS durante a manhã de segunda-feira, 23 de outubro", lê-se em uma declaração traduzida automaticamente no site do CSIRT.

"Como consequência, alguns serviços públicos em nosso país apresentaram indisponibilidade em seus sites."

O CSIRT está exigindo que todas as instituições públicas que utilizam os serviços IaaS da GTD notifiquem o governo conforme o decreto nº 273, que exige que todas as agências estaduais informem quando um incidente de segurança cibernética pode impactá-las.

Embora o CSIRT não tenha divulgado o nome da operação de ransomware por trás do ataque à GTD, o BleepingComputer descobriu que envolveu a variante de ransomware Rorschach previamente vista em um ataque a uma empresa dos EUA.

O ransomware Rorschach (também conhecido como BabLock) é um novo encriptador visto pela Check Point Research em abril de 2023. Embora os pesquisadores não pudessem vincular o encriptador a uma gangue de ransomware específica, eles alertaram que ele era sofisticado e muito rápido, capaz de criptografar um dispositivo em 4 minutos e 30 segundos.

Em um relatório sobre o ataque à GTD visto pelo BleepingComputer, os atores da ameaça estão utilizando vulnerabilidades de sideloading de DLL em executáveis legítimos da Trend Micro, BitDefender e Cortex XDR para carregar uma DLL maliciosa.

Este DLL é o injetor Rorschach, que injetará uma carga útil de ransomware chamada "config[.]ini" em um processo do Bloco de Notas. Uma vez carregado, o ransomware começará a criptografar arquivos no dispositivo.

O CSIRT compartilhou os seguintes IOCs relacionados ao ataque à GTD abaixo, com u.exe e d.exe sendo executáveis legítimos da TrendMicro e BitDefender usados no ataque e os DLLs contendo o malware.

O CSIRT do Chile recomenda que todas as organizações conectadas à IaaS da GTD sigam as seguintes etapas para confirmar que não foram violadas no ataque:

- Faça uma varredura completa de sua infraestrutura com antivírus.
- Verifique se não há software suspeito em seus sistemas.
- Verifique as contas existentes em seu servidor e confira se nenhuma conta nova foi criada.
- Analise o desempenho do processamento e do disco rígido para garantir que ele não tenha sido alterado.
- Verifique se há algum tipo de variação nas informações ou vazamento de dados da empresa e de seus bancos de dados.
- Cheque o tráfego da sua rede.
- Mantenha um registro atualizado de seus sistemas para garantir um monitoramento eficaz.
- Restrinja o acesso via SSH aos servidores, apenas se estritamente necessário.

No início deste ano, a organização militar chilena sofreu um ataque de ransomware Rhysida, onde a BleepingComputer foi informada que os atores da ameaça divulgaram 360.000 documentos roubados do governo.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...