O exército do Paraguai está alertando para ataques de ransomware da Black Hunt, após a Tigo Business sofrer um ataque cibernético na semana passada que impactou os serviços de nuvem e hospedagem na divisão de negócios da empresa.
A Tigo é a maior operadora de telefonia móvel do Paraguai, com sua divisão Tigo Business oferecendo soluções digitais para empresas, incluindo consultoria em cibersegurança, hospedagem em nuvem e data center, e soluções de rede de área ampla (WAN).
No fim de semana, a mídia local relatou que empresas estavam lidando com interrupções em seus sites hospedados na Tigo Business desde quinta-feira.
Embora suspeitasse que a Tigo havia sofrido um ataque cibernético, a empresa não confirmou oficialmente o ataque até o fim de semana, quando divulgou um comunicado.
"No dia 4 de janeiro, fomos vítimas de um incidente de segurança na nossa infraestrutura Tigo Business Paraguay como serviço, o que afetou o fornecimento normal de alguns serviços específicos para um grupo limitado de clientes no segmento corporativo (empresas)".
lê-se uma declaração da Tigo Business.
A declaração continua dizendo que grande parte das notícias relatadas online são imprecisas e que o ataque não afetou a internet, serviços telefônicos, e carteiras eletrônicas Tigo Money.
Embora a Tigo não tenha fornecido detalhes sobre o ataque cibernético, vários relatos em redes sociais indicam que ela sofreu um ataque da operação de ransomware Black Hunt.
Esses relatórios afirmaram que mais de 330 servidores foram criptografados, e os backups foram comprometidos durante o ataque.
No dia seguinte, a Diretoria Geral de Tecnologias de Informação e Comunicação das Forças Armadas do Paraguai (FFAA) emitiu um alerta avisando as empresas do país sobre ataques de ransomware Black Hunt.
"O DSIRT-MIL do DIGETIC/FFAA, emite um alerta oficial em relação ao recente incidente de cibersegurança que impactou significativamente um dos principais provedores de serviços de internet do país e que teve um impacto direto em mais de 300 empresas associadas ao referido operador, comprometendo backups, páginas web, e-mails e sua armazenagem em nuvem", leu-se em um aviso agora deletado do DSIRT-MIL do Paraguai.
"O incidente ocorrido, segundo relatos de especialistas em cibersegurança, é uma infecção de ransomware relacionada a um grupo de cibercriminosos chamado Black Hunt."
O comunicado logo foi excluído, com o DSIRT-MIL afirmando que não estava ligado a nenhum incidente de cibersegurança.
A operação de ransomware Black Hunt foi lançada no final de 2022, quando pesquisadores de cibersegurança começaram a relatar ataques.
De várias vítimas vistas pela BleepingComputer, os atores de ameaças comumente atacam empresas na América do Sul.
Como outras operações de ransomware, os atores de ameaças violam redes corporativas e se espalham silenciosamente para outros dispositivos até que tenham acesso suficiente para implantar os criptografadores na rede.
Quando os criptografadores são lançados, eles executarão os seguintes comandos para limpar os logs de eventos do Windows, excluir Cópias de Volume de Sombra e revistas NTFS, e desabilitar as opções de recuperação do Windows.
Além disso, a Black Hunt realizará uma grande quantidade de alterações no Windows, incluindo a desativação do Microsoft Defender, a adição de novos usuários, a desativação da Restauração do Sistema e a desativação do Gerenciador de Tarefas e do comando Executar.
Embora todos os dispositivos Windows devam ser restaurados após uma infecção por malware, aqueles infectados pela Black Hunt serão bem inutilizáveis até que o Windows seja reinstalado.
Ao criptografar arquivos, o criptografador de ransomware anexará uma extensão no formato [unique_id].[contact_email].Hunt2 (novas versões) ou [unique_id].[contact_email].Black (versões antigas).
Em todas as pastas, o criptografador criará notas de resgate chamadas #BlackHunt_ReadMe.hta e #BlackHunt_ReadMe.txt, que contêm informações sobre o ataque e endereços de e-mail que podem ser usados para entrar em contato com os atores de ameaça.
Embora as notas de resgate afirmem que os hackers roubam dados durante os ataques, não houve nenhum caso conhecido da operação de ransomware vazando dados roubados.
Além disso, um site Tor listado na versão HTML da nota de resgate não funciona e parece falso.
No entanto, como os atores de ameaça tiveram acesso total aos dispositivos criptografados, é mais seguro presumir que os dados foram expostos durante os ataques.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...