根据 CSIRT 的说法,这次攻击中使用的恶意软件还具有从 Web 浏览器窃取凭据、列出可移动设备进行加密以及使用执行超时逃避防病毒检测的功能。
以典型的双重勒索方式,入侵者向智利的 CSIRT 提供了一个沟通渠道,以协商支付赎金,以防止文件泄露并解锁加密数据。
攻击者设定了三天的最后期限,并威胁要将被盗数据出售给暗网上的其他网络犯罪分子。
归属不明
智利的 CSIRT 公告没有指出勒索软件组织对这次攻击负责,也没有提供足够的细节来识别恶意软件。
附加到加密文件的扩展名不提供任何提示,因为它已被多个威胁参与者使用。
虽然智利 CSIRT 提供的关于恶意软件行为的少量信息指向 “RedAlert”勒索软件(又名“N13V”),这是一项于 2022 年 7 月启动的操作,但技术细节表明并非如此。
RedAlert 勒索软件在攻击中使用“.crypt”扩展名,针对 Windows 服务器和 Linux VMWare ESXi 机器,能够在加密之前强制停止所有正在运行的虚拟机,并使用 NTRUEncrypt 公钥加密算法。
但是,智利 CSIRT 公告中的妥协指标 (IoC) 要么与 Conti 相关,要么在输入自动分析系统时返回不确定的结果。
Conti 此前曾与对整个国家的攻击有关,例如 2022 年 7 月对哥斯达黎加的攻击,从获得初始访问权限到窃取和加密系统需要五天时间。
智利威胁分析师Germán Fernández 告诉 BleepingComputer,这种病毒似乎是全新的,与他交谈的研究人员无法将恶意软件与已知家族联系起来。
费尔南德斯还评论说,勒索信不是在感染期间产生的,BleepingComputer 可以证实这一细节。研究人员表示,该说明是在部署文件锁定恶意软件之前交付的。
“关于这次攻击的一个特别之处是,威胁行为者在前一阶段分发了勒索记录,以部署勒索软件作为最终的有效载荷,可能是为了逃避问题或避免在共享最终样本时泄露他们的联系方式。 " —— 德国人费尔南德斯
BleepingComputer 能够分析用于攻击的多个恶意软件样本,并检索到名为“ readme_for_unlock.txt ”的赎金记录,如下所示:
BleepingComputer 在分析此勒索软件菌株时看到的所有勒索记录都包括指向 Tor 网络中唯一网站的链接以及用于登录的密码。
据我们所知,该勒索软件的数据泄露站点尚不存在。Tor 站点用于显示一个消息框,受害者可以在其中联系黑客。
访问上述通信渠道需要密码,该密码包含在赎金记录中。
该恶意软件将自身配置为在 Windows 登录时启动,并在启动时使用名称 SecurityUpdate。
从目前 BleepingComputer 可以了解到的有关此勒索软件的信息来看,这是一项于 8 月初启动的新操作。
智利网络安全组织建议该国所有国家实体以及大型私人组织采取以下措施:
智利 CSIRT 为攻击中使用的文件提供了一组危害指标,防御者可以用来保护他们的组织。