El Equipo Nacional de Respuesta a Incidentes y Seguridad Informática de Chile (CSIRT) ha anunciado que una agencia gubernamental del país ha sido víctima de un ataque de ransomware, afectando a sus operaciones y servicios online.
Según se hace eco el medio especializado Bleeping Computer, el ataque se inició el pasado 25 de agosto y tuvo como objetivo los servidores ESXi de Microsoft y VMware operados por dicha institución pública.
Los agentes de amenazas paralizaron todas las máquinas virtuales y cifraron sus archivos. Para dejarlos inaccesibles a los funcionarios les agregaron la extensión .crypt.
"El ransomware usaría el algoritmo de cifrado de clave pública NTRUEncrypt, dirigido a archivos de registro (.log), archivos ejecutables (.exe), archivos de biblioteca dinámica (.dll), archivos de intercambio (.vswp), discos virtuales (. vmdk), instantáneas (.vmsn) y archivos de memoria de máquina virtual (.vmem), entre otros", explica el CSIRT en un comunicado.
Además, el malware utilizado en el ataque a la agenca chilena tiene otros 'superpoderes'. Dispone de funciones para hacerse con credenciales de navegadores web, enumerar dispositivos extraíbles para el cifrado y eludi la detección de los antivirus.
El incidente adoptó la clásica forma de doble extorsión, con los cibermalos ofreciendo al CSIRT un canal de comunicación para negociar el pago del rescate prometiendo a cambio un desbloqueo de los datos cifrados y su no difusión. Los hackers dieron al organismo tres días para que se lo pensara.
Por ahora desde la administración chilena no se han dado detalles de los autores del ataque ni del tipo de ransomware.
Un perfecto desconocido
Desde Bleeping Computer explican que hay detalles que recuerdan a 'RedAlert' por el uso de la extensión .crypt y porque se dirige tanto a máquinas Windows como a máquinas Linux. Sin embargo, según los indicadores de compromiso podría tratarse de Conti. Este grupo ya ha atacado a naciones como ocurrió con Costa Rica el pasado mes de julio.
También hay otras opiniones. El analista de amenazas le comentó a BleepingComputer que podría tratarse de una cepa totalmente nueva, según los investigadores que ha consultado.
Este experto subraya que algo curioso sobre el ciberataque es que los ciberdelincuents distribuyeron la nota de rescate en una etapa anterior all despliegue de ransomware como la carga útil final, "probablemente por problemas de evasión para que se filtraran sus datos contacto al compartir la muestra final".
El medio especializado hizo algunas averiguaciones y llegó a la conclusión de que se trataría de una nueva operación lanzada a principios de agosto.