Les acteurs de la menace à l’origine d’une opération de ransomware récemment apparue connue sous le nom de Rhysida ont divulgué en ligne ce qu’ils prétendent être des documents volés sur le réseau de l’armée chilienne (Ejército de Chile).

La fuite survient après que l’armée chilienne a confirmé le 29 mai que ses systèmes avaient été touchés par un incident de sécurité détecté au cours du week-end du 27 mai, selon un communiqué partagé par la société chilienne de cybersécurité CronUp.

Le réseau a été isolé à la suite de la violation, des experts en sécurité militaire ayant lancé le processus de récupération des systèmes affectés.

L’armée a signalé l’incident à l’équipe chilienne d’intervention en cas d’incident de sécurité informatique (CSIRT) des chefs d’état-major interarmées et du ministère de la Défense nationale.

Quelques jours après la révélation de l’attaque, les médias locaux ont rapporté qu’un caporal de l’armée avait été arrêté et inculpé pour son implication dans l’attaque par rançongiciel.

Le gang de rançongiciels Rhysida a maintenant publié 30 % de toutes les données qu’ils prétendent avoir volées sur le réseau de l’armée chilienne après les avoir initialement ajoutées à leur site de fuite de données et revendiqué l’attaque.

« Le rançongiciel Rhysida a publié environ 360 000 documents de l’armée chilienne (et selon eux, ce n’est que 30 %) », a déclaré le chercheur en sécurité de CronUp, Germán Fernández.

Le gang de rançongiciels Rhysida se décrit comme une « équipe de cybersécurité » qui vise à aider les victimes à sécuriser leurs réseaux, et il a été repéré pour la première fois par MalwareHunterTeam le 17 mai 2023.

Depuis lors, le groupe de rançongiciels a déjà ajouté huit victimes à son site de fuite de données sur le dark web et a publié tous les fichiers volés pour cinq d’entre eux.

Selon SentinelOne, les acteurs de la menace Rhysida pénètrent dans les réseaux des cibles via des attaques de phishing et déposent des charges utiles sur des systèmes compromis après le premier déploiement de Cobalt Strike ou de cadres de commande et de contrôle (C2) similaires.

Les échantillons analysés jusqu’à présent montrent que le malware du gang utilise l’algorithme ChaCha20, et celui-ci est toujours en développement, car il lui manque des fonctionnalités fournies par défaut avec la plupart des autres souches de ransomware.

Lors de l’exécution, il lance une fenêtre cmd.exe, commence à analyser les lecteurs locaux et supprime les notes de rançon PDF nommées CriticalBreachDetected.pdf après avoir crypté les fichiers des victimes.

Les victimes sont redirigées vers le portail de fuite Tor du gang, où on leur demande d’entrer l’identifiant unique dans les notes de rançon pour accéder aux instructions de paiement.

« Les charges utiles manquent de nombreuses fonctionnalités de base telles que la suppression de VSS qui sont synonymes de ransomwares actuels », déclare SentinelOne.

« Cela dit, le groupe menace les victimes de diffuser publiquement les données exfiltrées, les alignant ainsi sur les groupes modernes d’extorsion multiple. »

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *