Сначала чилийская армия, потом оператор GTD. Связаны ли эти инциденты и чего добиваются хакеры?
Чилийская телекоммуникационная компания, Grupo GTD, предоставляющая услуги клиентам по всей Латинской Америке, подверглась масштабной кибератаке. Инцидент нарушил работу сервисов IaaS («инфраструктуры как услуги») и привел к перебоям в работе онлайн-ресурсов.
Злоумышленники атаковали системы GTD утром 23 октября. «Под раздачу» в том числе попали такие сервисы, как центр обработки данных и голосовая связь по IP, а также пострадало качество интернет-соединения на всех серверах.
Чтобы предотвратить дальнейшее распространение вредоносного ПО, специалисты компании вынуждены были полностью отключить инфраструктуру IaaS.
Сегодня Чилийская группа реагирования на киберинциденты (CSIRT) официально подтвердила , что речь идёт об атаке вируса-вымогателя. CSIRT потребовала, чтобы все государственные учреждения, использующие услуги IaaS компании GTD, незамедлительно уведомили об этом правительство и провели сканирование своих систем на предмет компрометации.
Хотя точное название вредоносной программы пока не разглашается, источники сообщают, что речь идёт о ранее неизвестном варианте вымогателя Rorschach. Этот шифровальщик впервые был обнаружен экспертами Check Point в апреле 2023 года в ходе расследования кибератаки на одну из крупных американских фирм.
Как отмечают специалисты, Rorschach является очень сложным и быстродействующим вирусом-вымогателем. Он может зашифровать абсолютно все файлы на устройстве всего за 4 минуты и 30 секунд. Пока что исследователи не смогли связать его ни с одной из известных группировок.
Согласно официальному отчету, хакеры воспользовались уязвимостями в технологии подмены DLL-библиотек в легальных программах от Trend Micro, BitDefender и Cortex XDR.
Это позволило загрузить в системы GTD библиотеку, которая на самом деле являлась инжектором (загрузчиком) Rorschach. Инжектор внедрил в открытое на компьютере приложение Блокнот вредоносный код, замаскированный под конфигурационный файл с именем "config[.]ini". После внедрения вымогатель начал незаметное пофайловое шифрование всех данных на зараженном устройстве.
CSIRT также обнародовала технические детали, связанные с атакой. В частности, были названы имена исполняемых файлов u.exe и d.exe от TrendMicro и BitDefender. Именно эти легальные программы использовались злоумышленниками для подмены библиотек и запуска вредоносной программы.
Ранее в этом году аналогичная атака вируса-вымогателя Rhysida была совершена в отношении чилийских вооруженных сил. Тогда хакеры похитили и опубликовали в открытом доступе более 300 тысяч конфиденциальных документов.
Представители Grupo GTD пока не дают комментариев по поводу дополнительных подробностей инцидента.
Но доступ к знаниям открыт для всех