Зашифровано 330 серверов: Black Hunt наносит удар по латиноамериканским компаниям

[Artifact]

Клиенты Tigo Business чинят свои веб-сайты после атаки вымогательского ПО.

Министерство обороны Парагвая предупреждает о кибератаках вируса-вымогателя Black Hunt после того, как на прошлой неделе хакерская атака затронула компанию Tigo Business , предоставляющую облачные сервисы и хостинг.
Tigo является крупнейшим мобильным оператором в Парагвае. Подразделение Tigo Business предлагает цифровые решения для бизнеса, включая консалтинг по кибербезопасности, облачный хостинг и решения для широкополосных сетей.
В выходные местные СМИ сообщили, что с четверга у компаний, размещающих сайты на хостинге Tigo Business, наблюдаются перебои в работе веб-сайтов.
Хотя изначально предполагалось, что Tigo пострадала от кибератаки, компания официально подтвердила инцидент только в выходные, опубликовав заявление:
"4 января мы стали жертвой инцидента безопасности в инфраструктуре Tigo Business Paraguay, который повлиял на работу некоторых конкретных сервисов, используемых небольшой группой клиентов ".
В заявлении также уточняется, что большая часть новостей в интернете неточна, и что атака не затронула интернет, телефонную связь и электронные кошельки Tigo Money.
Сообщается, что было зашифровано более 330 серверов, резервные копии также были скомпрометированы.
В предупреждении, которое позже было удалено с официального сайта, говорится следующее: "Согласно отчетам специалистов по кибербезопасности, данный инцидент является следствием атаки вируса-вымогателя, связанного с хакерской группировкой Black Hunt".
Black Hunt - относительно новая группировка вымогателей, активная с конца 2022 года. Они часто атакуют компании в Южной Америке. Злоумышленники получают доступ к корпоративным сетям и тайно распространяются по устройствам, пока не получат достаточно прав для запуска шифровальщиков.
Шифровальщики удаляют журналы событий Windows, теневые копии томов и файловые журналы NTFS, отключают восстановление Windows. Также они отключают Защитник Windows, добавляют новых пользователей, отключают восстановление системы и блокируют диспетчер задач и команду Выполнить.
Зашифрованные файлы получают расширение в формате [id].[email].Hunt2. В каждой папке создаются новые файлы для шантажа #BlackHunt_ReadMe.hta и #BlackHunt_ReadMe.txt с информацией об атаке и электронной почтой для связи.
Хотя в файле вымогатели утверждают, что им удалось украсть чувствительные данные, подтверждений этому пока нет.