Operadores de ameaças por trás de uma operação de ransomware conhecida como Rhysida vazaram online o que afirmam ser documentos roubados da rede do Exército do Chile. O vazamento ocorre depois que o Exército chileno confirmou, em 29 de maio, que seus sistemas foram afetados em um incidente de segurança detectado no fim de semana, 27 de maio, de acordo com um comunicado da empresa chilena de segurança cibernética CronUp.
A rede foi isolada após a violação, com especialistas em segurança militar iniciando o processo de recuperação dos sistemas afetados. O Exército relatou o incidente à Equipe de Resposta a Incidentes de Segurança de Computadores (CSIRT) do Estado-Maior Conjunto do Chile e ao Ministério da Defesa Nacional.
Dias após a divulgação do ataque, a mídia local informou que um cabo do Exército foi preso e acusado de envolvimento no ataque de ransomware.
A gangue do ransomware Rhysida já publicou 30% de todos os dados que afirmam ter roubado da rede do Exército chileno, depois de adicioná-los inicialmente ao site de vazamento de dados e reivindicar o ataque. “O Rhysida ransomware publicou cerca de 360 mil documentos do Exército chileno [segundo eles, isso representa apenas 30% do que foi roubado]”, disse o pesquisador de segurança da CronUp, Germán Fernández.
Veja isso
Exército anuncia cooperação com a israelense Cysource
Sistema adquirido pelo Exército pode ‘hackear’ dados de celular
A gangue de ransomware Rhysida se descreve como uma “equipe de segurança cibernética” que visa ajudar as vítimas a proteger suas redes e foi detectada pela primeira vez pelo MalwareHunterTeam em 17 de maio passado. Desde então, o grupo de ransomware já adicionou oito vítimas ao site de vazamento de dados na dark web e publicou todos os arquivos roubados de cinco delas.
Os operadores do Rhysida estão violando as redes dos alvos por meio de ataques de phishing e lançando cargas úteis nos sistemas comprometidos após a implantação do Cobalt Strike ou estruturas semelhantes a comando e controle (C&C), de acordo com a SentinelOne.As amostras analisadas até agora mostram que o malware da gangue usa o algoritmo ChaCha20, e isso ainda está em desenvolvimento, pois faltam recursos que a maioria das outras variedades de ransomware vem por padrão.
