Bleeping Computer 網(wǎng)站披露��,一個(gè)名為 Rhysida 的勒索軟件團(tuán)伙在網(wǎng)上泄露了聲稱(chēng)從智利軍隊(duì)(Ejército de Chile)網(wǎng)絡(luò)中竊取的文件。
智利網(wǎng)絡(luò)安全公司 CronUp 發(fā)布聲明表示智利軍隊(duì)于 5 月 29 日證實(shí)其系統(tǒng)在 5 月 27 日受到某次網(wǎng)絡(luò)安全事件中的影響��。
網(wǎng)絡(luò)攻擊者入侵系統(tǒng)后�����,智利方面立刻啟動(dòng)了網(wǎng)絡(luò)隔離�����,軍事安全專(zhuān)家開(kāi)始對(duì)受影響系統(tǒng)的進(jìn)行修復(fù)����,并向智利參謀長(zhǎng)聯(lián)席會(huì)議計(jì)算機(jī)安全事件響應(yīng)小組(CSIRT)和國(guó)防部報(bào)告了這一事件����。巧合的是,網(wǎng)絡(luò)攻擊事件披露幾天后��,當(dāng)?shù)孛襟w報(bào)道稱(chēng)一名陸軍下士因參與勒索軟件攻擊被捕�。
【資料圖】
智利軍方大量數(shù)據(jù)被盜
成功盜取數(shù)據(jù)后,Rhysida 勒索軟件團(tuán)伙將其添加到數(shù)據(jù)泄露網(wǎng)站�,囂張的表示這些數(shù)據(jù)僅僅占從智利軍隊(duì)網(wǎng)絡(luò)竊取的所有數(shù)據(jù)的 30%??膳碌氖牵珻ronUp 安全研究員 Germán Fernández 指出 Rhysida 勒索軟件發(fā)布了約 36 萬(wàn)份智利軍隊(duì)文件。(如果真是 30%�,意味著智利軍方被盜 100 多萬(wàn)份文件!)
Rhysida 在泄密網(wǎng)站上公布的部分智利軍隊(duì)文件(Bleeping Computer)
2023 年 5 月 17 日�����,MalwareHunterTeam 首次發(fā)現(xiàn) Rhysida 勒索軟件團(tuán)伙���,該團(tuán)伙自稱(chēng)是一個(gè) "網(wǎng)絡(luò)安全團(tuán)隊(duì)",旨在幫助受害者保護(hù)他們的網(wǎng)絡(luò)安全�。自此以后,Rhysida 勒索軟件團(tuán)伙陸續(xù)在其暗網(wǎng)數(shù)據(jù)泄露網(wǎng)站上“增加”了 8 名受害者�,并公布了其中 5 人的被盜數(shù)據(jù)。
SentinelOne 聲稱(chēng) Rhysida 威脅攻擊者在部署 Cobalt Strike 或類(lèi)似指揮控制(C2)框架后���,通過(guò)網(wǎng)絡(luò)釣魚(yú)攻擊破壞目標(biāo)網(wǎng)絡(luò)��,并在受損系統(tǒng)中投放有效載荷�。
安全研究人員分析樣本結(jié)果顯示�,該團(tuán)伙的惡意軟件使用 ChaCha20 算法(據(jù)悉因?yàn)槿鄙俅蠖鄶?shù)其他勒索軟件的默認(rèn)功能,該算法仍在開(kāi)發(fā)中)���,執(zhí)行后���,會(huì)啟動(dòng) cmd.exe 窗口����,開(kāi)始掃描本地驅(qū)動(dòng)器�����,并在加密受害者文件后“投放”名為 CriticalBreachDetected.PDF 的 PDF 贖金筆記��。
Rhysida 贖金筆記(BleepingComputer)
一旦遭受攻擊���,受害者會(huì)被重定向到該團(tuán)伙的 Tor 泄漏門(mén)戶���,在這里受害者被告知輸入贖金筆記中的唯一標(biāo)識(shí)符,以獲得付款說(shuō)明���。
文章來(lái)源:https://www.bleepingcomputer.com/news/security/rhysida-ransomware-leaks-documents-stolen-from-chilean-army/
