智利国家计算机安全和事件响应小组 (CSIRT) 宣布,勒索软件攻击影响了该国政府机构的运营和在线服务。
攻击于 8 月 25 日星期四开始,针对该机构运营的 Microsoft 和 VMware ESXi 服务器。
黑客停止了所有正在运行的虚拟机并加密了他们的文件,并附加了“.crypt”文件扩展名。
“勒索软件将使用 NTRUEncrypt 公钥加密算法,针对日志文件 (.log)、可执行文件 (.exe)、动态库文件 (.dll)、交换文件 (.vswp)、虚拟磁盘 (.vmdk)、快照(.vmsn) 文件和虚拟机内存 (.vmem) 文件等,” – 智利 CSIRT
根据 CSIRT 的说法,这次攻击中使用的恶意软件还具有从 Web 浏览器窃取凭据、列出可移动设备进行加密以及使用执行超时逃避防病毒检测的功能。
以典型的双重勒索方式,入侵者向智利的 CSIRT 提供了一个沟通渠道,以协商支付赎金,以防止文件泄露并解锁加密数据。
攻击者设定了三天的最后期限,并威胁要将被盗数据出售给暗网上的其他网络犯罪分子。
归属不明
智利的 CSIRT 公告没有指出勒索软件组织对这次攻击负责,也没有提供足够的细节来识别恶意软件。
附加到加密文件的扩展名不提供任何提示,因为它已被多个威胁参与者使用。
虽然智利 CSIRT 提供的关于恶意软件行为的少量信息指向 “RedAlert”勒索软件(又名“N13V”),这是一项于 2022 年 7 月启动的操作,但技术细节表明并非如此。
RedAlert 勒索软件在攻击中使用“.crypt”扩展名,针对 Windows 服务器和 Linux VMWare ESXi 机器,能够在加密之前强制停止所有正在运行的虚拟机,并使用 NTRUEncrypt 公钥加密算法。
但是,智利 CSIRT 公告中的妥协指标 (IoC) 要么与 Conti 相关,要么在输入自动分析系统时返回不确定的结果。
Conti 此前曾与对整个国家的攻击有关,例如 2022 年 7 月对哥斯达黎加的攻击,从获得初始访问权限到窃取和加密系统需要五天时间。
智利威胁分析师Germán Fernández 告诉ZZQIDC,这种病毒似乎是全新的,与他交谈的研究人员无法将恶意软件与已知家族联系起来。
费尔南德斯还评论说,勒索信不是在感染期间产生的,ZZQIDC可以证实这一细节。研究人员表示,该说明是在部署文件锁定恶意软件之前交付的。
“关于这次攻击的一个特别之处是,威胁行为者在前一阶段分发了勒索记录,以部署勒索软件作为最终的有效载荷,可能是为了逃避问题或避免在共享最终样本时泄露他们的联系方式。 ” —— 德国人费尔南德斯
ZZQIDC能够分析用于攻击的多个恶意软件样本,并检索到名为“ readme_for_unlock.txt ”的赎金记录,如下所示:
身份不明的威胁演员的赎金记录
ZZQIDC在分析此勒索软件菌株时看到的所有勒索记录都包括指向 Tor 网络中唯一网站的链接以及用于登录的密码。
据我们所知,该勒索软件的数据泄露站点尚不存在。Tor 站点用于显示一个消息框,受害者可以在其中联系黑客。
与黑客的沟通渠道
来源:ZZQIDC
访问上述通信渠道需要密码,该密码包含在赎金记录中。
该恶意软件将自身配置为在 Windows 登录时启动,并在启动时使用名称 SecurityUpdate。
添加注册表项以在启动
源启动:ZZQIDC
从目前ZZQIDC可以了解到的有关此勒索软件的信息来看,这是一项于 8 月初启动的新操作。
智利网络安全组织建议该国所有国家实体以及大型私人组织采取以下措施:
使用正确配置的防火墙和防病毒工具
更新 VMware 和 Microsoft 资产
保留最重要数据的备份
验证反垃圾邮件过滤器的配置并培训员工识别恶意电子邮件
实现网络分段并应用最小权限原则
随时了解需要立即修补或缓解的新漏洞
智利 CSIRT 为攻击中使用的文件提供了一组危害指标,防御者可以用来保护他们的组织。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 新的勒索软件攻击智利政府机构的Windows、Linux服务器
