Программа-вымогатель Rhysida похищает секретные документы чилийской армии

[Artifact]

Инструментарий киберпреступников всё ещё далёк от совершенства, но его активно развивают и дорабатывают.
Злоумышленники, стоящие за раскрытой недавно вредоносной кампанией с использованием программы-вымогателя Rhysida, опубликовали в Интернете то, что, по их утверждению, является высокочувствительными документами, украденными из сети чилийской армии.
Утечка произошла после того, как 29 мая чилийская армия подтвердила, что её системы пострадали в результате инцидента с безопасностью, впервые обнаруженного 27 мая. Об этом сообщила местная фирма по кибербезопасности под названием CronUp.
После обнаружения взлома сеть была изолирована, и эксперты по военной безопасности начали процесс восстановления затронутых систем.
Через несколько дней после раскрытия атаки местные СМИ сообщили , что местный армейский капрал был арестован по обвинению в причастности к данной вымогательской атаке.
«Вымогатели Rhysida опубликовали около 360 тысяч документов чилийской армии (и, согласно их данным, это всего лишь 30%)», — проинформировал Герман Фернандес, исследователь CronUp.
Примечательно, что Rhysida описывает себя как «команду кибербезопасности», цель которой — помочь жертвам обезопасить свои сети Такой интересный подход ко взлому чем-то напоминает вымогателей Clop, которые «проводят пентест постфактум». Впервые хакеры Rhysida были замечены исследователями MalwareHunterTeam 17 мая этого года.
С тех пор группа вымогателей уже добавила восемь жертв на свой сайт утечки данных в даркнете и опубликовала все украденные файлы для пяти из них.
По данным SentinelOne, участники угроз Rhysida проникают в сети своих жертв с помощью фишинговых атак и сбрасывают полезную нагрузку на скомпрометированные системы после первоначального развёртывания Cobalt Strike или аналогичных C2-платформ.
Проанализированные исследователями образцы вредоносных программ используют алгоритм ChaCha20, и, судя по данным специалистов, инструментарий Rhysida всё ещё находится в разработке, поскольку в нём отсутствуют функции, которыми по умолчанию обладают большинство других разновидностей программ-вымогателей.
После выполнения программа запускает окно «cmd.exe», сканирует локальные диски и шифрует данные. После завершения работы вредонос сбрасывает по системе заметки о выкупе в формате PDF с именем CriticalBreachDetected.pdf. В заметке жертвы перенаправляются на портал утечки информации банды, где им предлагается ввести свой уникальный идентификатор, чтобы получить доступ к платежным инструкциям.
«Несмотря на то, что в инструментарии вымогателей пока отсутствуют многие стандартные функции, группа угрожает жертвам публичным распространением эксфильтрованных данных, что ставит их в один ряд с современными группами вымогателей», — подытожили специалисты SentinelOne.