Программа-вымогатель Rhysida похищает секретные документы чилийской армии

Злоумышленники, стоящие за раскрытой недавно вредоносной кампанией с использованием программы-вымогателя Rhysida, опубликовали в Интернете то, что, по их утверждению, является высокочувствительными документами, украденными из сети чилийской армии.

Утечка произошла после того, как 29 мая чилийская армия подтвердила, что её системы пострадали в результате инцидента с безопасностью, впервые обнаруженного 27 мая. Об этом сообщила местная фирма по кибербезопасности под названием CronUp.

После обнаружения взлома сеть была изолирована, и эксперты по военной безопасности начали процесс восстановления затронутых систем.

Через несколько дней после раскрытия атаки местные СМИ сообщили , что местный армейский капрал был арестован по обвинению в причастности к данной вымогательской атаке.

«Вымогатели Rhysida опубликовали около 360 тысяч документов чилийской армии (и, согласно их данным, это всего лишь 30%)», — проинформировал Герман Фернандес, исследователь CronUp.

Примечательно, что Rhysida описывает себя как «команду кибербезопасности», цель которой — помочь жертвам обезопасить свои сети Такой интересный подход ко взлому чем-то напоминает вымогателей Clop, которые «проводят пентест постфактум». Впервые хакеры Rhysida были замечены исследователями MalwareHunterTeam 17 мая этого года.

С тех пор группа вымогателей уже добавила восемь жертв на свой сайт утечки данных в даркнете и опубликовала все украденные файлы для пяти из них.

По данным SentinelOne, участники угроз Rhysida проникают в сети своих жертв с помощью фишинговых атак и сбрасывают полезную нагрузку на скомпрометированные системы после первоначального развёртывания Cobalt Strike или аналогичных C2-платформ.

Проанализированные исследователями образцы вредоносных программ используют алгоритм ChaCha20, и, судя по данным специалистов, инструментарий Rhysida всё ещё находится в разработке, поскольку в нём отсутствуют функции, которыми по умолчанию обладают большинство других разновидностей программ-вымогателей.

После выполнения программа запускает окно «cmd.exe», сканирует локальные диски и шифрует данные. После завершения работы вредонос сбрасывает по системе заметки о выкупе в формате PDF с именем CriticalBreachDetected.pdf. В заметке жертвы перенаправляются на портал утечки информации банды, где им предлагается ввести свой уникальный идентификатор, чтобы получить доступ к платежным инструкциям.

«Несмотря на то, что в инструментарии вымогателей пока отсутствуют многие стандартные функции, группа угрожает жертвам публичным распространением эксфильтрованных данных, что ставит их в один ряд с современными группами вымогателей», — подытожили специалисты SentinelOne.