Правительственная группа реагирования на инциденты компьютерной безопасности Чили, CSIRT, сообщает об инциденте, затронувшем в четверг 25 августа одну из правительственных служб, в результате которого была нарушена работа ее систем и онлайн-сервисов.
Судя по IOC данный тип ПО относится к TrojanRansom.Conti
Характер инцидента связан с вымогательским ПО, которое поразило серверы Microsoft и VMware ESXi в корпоративных сетях учреждения.
Рассматриваемая программа-вымогатель способна остановить все запущенные виртуальные машины и зашифровать файлы, связанные с виртуальными машинами.
В результате заражения файлы приобретают расширение ".crypt". Впоследствии злоумышленник получает полный контроль над системой жертвы и оставляет сообщение о выкупе, в котором сообщает объем похищенных данных, предлагает канал связи и конкретный ID для связи с ним. Злоумышленник дает трехдневный срок для связи, в противном случае угрожает сделать данные недоступными для организации и выставить эти активы на продажу третьим лицам в дарквебе.
Программа-вымогатель использует алгоритм шифрования с открытым ключом NTRUEncrypt, нацеленный, в частности, на файлы журналов (.log), исполняемые файлы (.exe), файлы динамических библиотек (.dll), файлы подкачки (.vswp), виртуальные диски (.vmdk), файлы моментальных снимков (.vmsn) и файлы памяти (.vmem) виртуальных машин.
Таким образом, вредоносная программа, создавшая ransomware, также обладает характеристиками infostealer:
- Крадет учетные данные из браузеров.
- Перечисление устройств для извлечения, таких как жесткие диски и перьевые накопители
- Он обладает возможностями антивирусного обхода с таймаутом.
Indicators of Compromise
SHA256
- 39b74b2fb057e8c78a2ba6639cf3d58ae91685e6ac13b57b70d2afb158cf742d
- ac73234d1005ed33e94653ec35843ddc042130743eb6521bfd3c32578e926004
- c42834ac1c8efc19c44024f1e4960c5a9aaab05dc9fceb0d1596ffe0c244f5f2