Rhysida olarak bilinen yakın zamanda ortaya çıkan fidye yazılımı operasyonunun arkasındaki tehdit aktörleri, Şili Ordusu ağından (Ejército de Şili) çalınan belgeler olduğunu iddia ettiklerini çevrimiçi sızdırdılar.
Şili Siber Güvenlik firması Cronup tarafından paylaşılan bir açıklamaya göre, Şili Ordusu 29 Mayıs'ta sistemlerinin 27 Mayıs'ta hafta sonu tespit edilen bir güvenlik olayından etkilendiğini doğruladıktan sonra geliyor.
Ağ, etkilenen sistemlerin kurtarma sürecine başlayan askeri güvenlik uzmanları ile ihlalin ardından izole edildi.
Ordu, olayı Şili'nin Ortak Genelkurmay Başkanları ve Ulusal Savunma Bakanlığı'nın Bilgisayar Güvenliği Olay Müdahale Ekibine (CSIR) bildirdi.
Saldırının açıklanmasından günler sonra, yerel medya bir ordunun tutuklandığını ve fidye yazılımı saldırısına katılımından dolayı suçlandığını bildirdi.
Rhysida fidye yazılımı çetesi, başlangıçta veri sızıntı sitesine ekledikten ve saldırıyı talep ettikten sonra Şili Ordusu'nun ağından çaldığını iddia ettikleri tüm verilerin% 30'unu yayınladı.
Cronup güvenlik araştırmacısı Germán Fernández, "Rhyida fidye yazılımı yaklaşık 360.000 Şili ordu belgesi yayınladı (ve onlara göre sadece %30)." Dedi.
Rhysida fidye yazılımı çetesi kendisini kurbanların ağlarını güvence altına almalarına yardımcı olmayı amaçlayan bir "siber güvenlik ekibi" olarak tanımlıyor ve ilk olarak 17 Mayıs 2023'te Malwarehunterteam tarafından tespit edildi.
O zamandan beri, fidye yazılımı grubu zaten karanlık web veri sızıntı sitesine sekiz kurban ekledi ve beşi için çalınan tüm dosyaları yayınladı.
SentinelOne'a göre Rhysida tehdit aktörleri, kimlik avı saldırıları yoluyla hedeflerin ağlarını, kimlik avı saldırıları yoluyla ve ödün verilen sistemlere düşürerek güvenliği ihlal edilen sistemlere düşürüyorlar.
Şimdiye kadar analiz edilen örnekler, çetenin kötü amaçlı yazılımlarının Chacha20 algoritmasını kullandığını ve bu hala geliştirilmekte olduğunu gösteriyor, çünkü eksik özelliklerin çoğu diğer fidye yazılımı suşlarının varsayılan olarak geldiği.
Yürütme üzerine, bir CMD.EXE penceresi başlatır, yerel sürücüleri taramaya başlar ve kurbanların dosyalarını şifreledikten sonra critalbreachDetected.pdf adlı PDF fidye notlarını düşürür.
Kurbanlar, ödeme talimatlarına erişmek için fidye notlarındaki benzersiz tanımlayıcıya girmeleri söylenen çetenin Tor Sızıntı Portalına yönlendirilir.
Sentinelone, "Yükler, günümüz fidye yazılımı ile eşanlamlı olan VSS kaldırma gibi birçok emtia özelliği eksik."
Diyerek şöyle devam etti: "Bu, Grup'un kurbanları, söndürülmüş verilerin kamuoyunun dağılımı ile tehdit ettiğini ve onları modern çok genişlemeli gruplarla uyumlu hale getirdiğini söyledi."
Fidye Yazılımında Hafta - 16 Haziran 2023 - Gasp Dalgası
Fidye Yazılımında Hafta - 9 Haziran 2023 - Bu Clop ... Yine!
Arms Maker Rheinmetall Blackbasta Fidye Saldırısını Onayladı
US Govt, Clop Ransomware hakkında bilgi için 10 milyon dolarlık ödül sunuyor
Milyonlarca Oregon, Louisiana State IDS Moveit İhlali'nde Çalındı
Kaynak: Bleeping Computer