Contáctanos al
1510
El Equipo de Respuesta ante Incidentes de Seguridad Informática, CSIRT de Gobierno, informa sobre un incidente en progreso que afecta a un servicio del gobierno, durante la jornada del jueves 25 de agosto, el cual ha interrumpido el funcionamiento de sus sistemas y servicios en línea.
La naturaleza del incidente corresponde a un ransomware que afectó servidores Microsoft y VMware ESXi en redes corporativas de la institución.
El ransomware en cuestión tiene la capacidad de detener todas las máquinas virtuales en ejecución y cifrar archivos relacionados con las máquinas virtuales.
Como resultado de la infección, los archivos asumen la extensión “.crypt”. Posteriormente, el atacante toma control completo del sistema de la víctima y deja un mensaje de rescate informando la cantidad de datos secuestrados, ofreciendo un canal de comunicación y un ID específico para contactarse con ellos. El atacante da un plazo de tres días para comunicarse, de lo contrario amenaza con impedir que los datos sean accesibles para la organización y poner estos activos a la venta a terceros en la darkweb.
El ransomware utilizaría el algoritmo de cifrado de clave pública NTRUEncrypt, dirigido a archivos de registro (.log), archivos ejecutables (.exe), archivos de bibliotecas dinámicas (.dll), archivos de intercambio (.vswp), discos virtuales (.vmdk), archivos de instantáneas (.vmsn) y archivos de memoria (.vmem) de máquinas virtuales, entre otros.
En el presente documento, compartimos algunos Indicadores de Compromiso y características del malware que hemos logrado observar, relacionados con este incidente.
Así, el programa malicioso que ha realizado el ransomware cuenta también con características de infostealer:
Cambio de los nombres de los archivos al encriptar:
C:\Users\Admin\Pictures\DebugSelect.raw => C:\Users\Admin\Pictures\DebugSelect.raw.crypt
IoC de archivos
0t8I7t8q8.exe
SHA256; 39b74b2fb057e8c78a2ba6639cf3d58ae91685e6ac13b57b70d2afb158cf742d
6c1W1w0p9.bat
SHA256; ac73234d1005ed33e94653ec35843ddc042130743eb6521bfd3c32578e926004
lock.exe
SHA256: c42834ac1c8efc19c44024f1e4960c5a9aaab05dc9fceb0d1596ffe0c244f5f2
Tácticas empleadas según la clasificación de Mitre ATT&CK
El CSIRT de Gobierno quiere alertar a la comunidad del Estado y entidades en convenio de colaboración para que pongan especial atención sobre esta amenaza y para que sigan, al menos, las siguientes recomendaciones: