Η συμμορία πίσω από μια νέα επιχείρηση ransomware με το όνομα Rhysida, φαίνεται πως έκλεψε δεδομένα του Χιλιανού Στρατού (Ejército de Chile), μετά από μια επίθεση που έλαβε χώρα στα τέλη του περασμένου μήνα. Οι hackers πίσω από αυτή την επίθεση ανέβασαν στο διαδίκτυο κάποια έγγραφα που, όπως υποστηρίζουν, έχουν κλαπεί από το σύστημα του στρατού.

Η διαρροή συνέβη μετά την επιβεβαίωση του Χιλιανού Στρατού, στις 29 Μαΐου, ότι τα συστήματά του επλήγησαν από ένα περιστατικό ασφαλείας που εντοπίστηκε το Σαββατοκύριακο της 27ης Μαΐου. Αυτό καταδεικνύεται από μια δήλωση που κοινοποιήθηκε από την εταιρεία κυβερνοασφάλειας της Χιλής, CronUp.

Δείτε επίσης: Μια επιχείρηση ransomware στοχεύει τους Ρώσους παίκτες του Enlisted

Το δίκτυο έχει απομονωθεί λόγω παραβίασης. Στρατιωτικοί εμπειρογνώμονες ασφαλείας έχουν ξεκινήσει τη διαδικασία ανάκτησης των επηρεαζόμενων συστημάτων.

Ο στρατός ενημέρωσε το Computer Security Incident Response Team της Χιλής (CSIRT), που ανήκει στο Μικτό Επιτελείο Στρατού και το Υπουργείο Εθνικής Άμυνας.

Λίγες ημέρες μετά την επίθεση, τα τοπικά μέσα ενημέρωσης ανακοίνωσαν ότι ένας δεκανέας του στρατού συνελήφθη και κατηγορείται για συμμετοχή του στην επίθεση ransomware.

Η συμμορία ransomware Rhysida έχει ανεβάσει στον ιστότοπο διαρροής δεδομένων της το 30% από τα δεδομένα που υποστηρίζει ότι έχει κλέψει από το δίκτυο του Χιλιανού Στρατού.

Το Rhysida ransomware δημοσίευσε περίπου 360.000 έγγραφα του Χιλιανού Στρατού (και σύμφωνα με αυτούς, είναι μόνο το 30%)“, ανέφερε στο Twitter ο ερευνητής ασφαλείας της CronUp, Germán Fernández.

Δείτε επίσης: LockBit ransomware: Η συμμορία κέρδισε $ 91 εκατ. μέσω 1.700 επιθέσεων σε αμερικανικούς οργανισμούς

Η συμμορία ransomware Rhysida χαρακτηρίζει τον εαυτό της ως μια “ομάδα κυβερνοασφάλειας” και δηλώνει πως στοχεύει στη βοήθεια των θυμάτων για την προστασία των δικτύων τους. Το MalwareHunterTeam ανέφερε πως εντόπισε τη συμμορία στις 17 Μαΐου του 2023.

Μέχρι στιγμής, η ομάδα ransomware έχει προσθέσει οκτώ θύματα στον ιστότοπο διαρροής δεδομένων και έχει δημοσιεύσει όλα τα κλεμμένα αρχεία για πέντε από αυτά.

Σύμφωνα με τη SentinelOne, η συμμορία ransomware Rhysida χρησιμοποιεί επιθέσεις phishing για να παραβιάσει τα δίκτυα των στόχων και στη συνέχεια εγκαθιστά payloads σε παραβιασμένα συστήματα, χρησιμοποιώντας το Cobalt Strike ή παρόμοια command-and-control (C2) frameworks.

Τα δείγματα που έχουν αναλυθεί μέχρι στιγμής, δείχνουν ότι το κακόβουλο λογισμικό της συμμορίας χρησιμοποιεί τον αλγόριθμο ChaCha20. Φαίνεται ότι το malware βρίσκεται ακόμα σε εξέλιξη, καθώς λείπουν χαρακτηριστικά που έχουν τα περισσότερα ransomware σήμερα από προεπιλογή.

Κατά την εκτέλεση, εκκινεί ένα cmd.exe window, ξεκινά τη σάρωση των τοπικών μονάδων δίσκου και εμφανίζει σημειώματα λύτρων με το όνομα CriticalBreachDetected.pdf, αφού κρυπτογραφήσει τα αρχεία των θυμάτων.

Δείτε επίσης: Οι κρατικές υπηρεσίες του Ιλινόις δέχτηκαν επίθεση από την ομάδα ransomware CL0P

Τα θύματα ανακατευθύνονται στο Tor leak portal της συμμορίας, όπου τους ζητείται να εισαγάγουν το μοναδικό αναγνωριστικό στα σημειώματα λύτρων για να έχουν πρόσβαση στις οδηγίες πληρωμής. Η συμμορία απειλεί τα θύματα με διαρροή δεδομένων, όπως κάνουν οι περισσότερες συμμορίες ransomware σήμερα.

Το Ransomware είναι μια μεγάλη απειλή για τους χρήστες υπολογιστών σε όλο τον κόσμο. Είναι σημαντικό να λαμβάνετε μέτρα για να προστατεύσετε τον εαυτό σας, όπως να διατηρείτε το λογισμικό σας ενημερωμένο και να δημιουργείτε τακτικά αντίγραφα ασφαλείας των αρχείων σας. Εάν πέσετε θύμα ransomware, είναι σημαντικό να παραμείνετε ήρεμοι και να εξετάσετε προσεκτικά τις επιλογές σας πριν λάβετε οποιεσδήποτε αποφάσεις. Παραμένοντας ενημερωμένοι και προετοιμασμένοι, μπορείτε να ελαχιστοποιήσετε τον κίνδυνο να πέσετε θύμα ransomware (εσείς ή η επιχείρησή σας).

Πηγή: www.bleepingcomputer.com