Атака началась с серверов VMware ESXI и служб Microsoft.
https://www.securitylab.ru/upload/ib...18azallzu4.jpg
Группа реагирования на инциденты кибербезопасности Чили (CSIRT) заявила, что одно из госучреждений страны подверглось атаке программы-вымогателя, нацеленной на корпоративные службы Microsoft и серверы VMware ESXI. CSIRT Чили заявила , что атака началась 25 августа, но не уточнила, какая группа стояла за атакой и какой департамент подвергся атаке.
Аналитик программ-вымогателей Recorded Future Аллан Лиска сказал, что расширение связано с программой-вымогателем Thanos , но оно также было связано и с другими программами.
Злоумышленник смог получить полный контроль над системой жертвы и оставил записку с требованием выкупа, в которой также предложил способы связаться с ним. Программа-вымогатель обошла антивирусное ПО и зашифровала многие файлы, а также украла учетные данные из браузеров и определила подключенные устройства и диски.
По словам агентства, во время атаки расширение «.crypt» было добавлено ко всем файлам в системе ведомства. Хакер пригрозил продать информацию в дарквебе, если агентство не ответит в течение трех дней.
Ни одна группа вымогателей пока не взяла на себя ответственность за атаку. CSIRT Чили в своем объявлении также поделилась индикаторами компрометации и характеристиками вредоносного ПО.
Специалисты призвали другие правительственные учреждения убедиться, что их активы Microsoft и VMware исправлены, внедрить сегментацию сети и связаться со специалистами по кибербезопасности в случае любой атаки.