Os atores de ameaças por trás de uma operação de ransomware recentemente descoberta, conhecida como Rhysida, vazaram online o que eles afirmam ser documentos roubados da rede do Exército Chileno (Ejército de Chile).
O vazamento ocorre depois que o Exército Chileno confirmou em 29 de maio que seus sistemas foram impactados em um incidente de segurança detectado no final de semana de 27 de maio, de acordo com um comunicado compartilhado pela empresa de cibersegurança chilena CronUp.
A rede foi isolada após a violação, com especialistas em segurança militar iniciando o processo de recuperação dos sistemas afetados.
O exército relatou o incidente à Equipe de Resposta a Incidentes de Segurança Cibernética (CSIRT) das Forças Armadas Conjuntas e ao Ministério da Defesa Nacional do Chile.
Dias após o ataque ter sido divulgado, a mídia local relatou que um cabo do exército foi preso e acusado por seu envolvimento no ataque de ransomware.
O grupo de ransomware Rhysida agora publicou 30% de todos os dados que afirmam ter roubado da rede do Exército Chileno, após inicialmente adicioná-los ao seu site de vazamento de dados e reivindicar o ataque.
"O ransomware Rhysida publicou cerca de 360.000 documentos do Exército Chileno (e de acordo com eles, é apenas 30%)", disse o pesquisador de segurança da CronUp, Germán Fernández.
O grupo de ransomware Rhysida se descreve como uma "equipe de cibersegurança" que tem como objetivo ajudar as vítimas a garantir suas redes, e foi avistado pela primeira vez pelo MalwareHunterTeam em 17 de maio de 2023.
Desde então, o grupo de ransomware já adicionou oito vítimas ao seu site de vazamento de dados na dark web e publicou todos os arquivos roubados para cinco delas.
Os atores de ameaças Rhysida estão violando as redes dos alvos por meio de ataques de phishing e deixando payloads em sistemas comprometidos, depois de implantar o Cobalt Strike ou estruturas de controle similares, de acordo com a SentinelOne.
As amostras analisadas até agora mostram que o malware do grupo usa o algoritmo ChaCha20 e ainda está em desenvolvimento, já que está faltando recursos que a maioria das outras cepas de ransomware apresentam por padrão.
Na execução, ele abre uma janela cmd.exe, inicia a varredura das unidades locais e deixa notas de resgate em PDF chamadas CriticalBreachDetected.pdf após criptografar os arquivos das vítimas.
As vítimas são redirecionadas para o portal de vazamento Tor do grupo, onde são informadas para inserir o identificador exclusivo nas notas de resgate para acessar as instruções de pagamento.
"Os payloads estão faltando muitos recursos comuns, como a remoção do VSS, que são sinônimos de ransomware moderno", diz a SentinelOne.
"Dito isso, o grupo ameaça as vítimas com a distribuição pública dos dados exfiltrados, trazendo-os para a linha dos grupos de extorsão múltipla modernos."
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...