Un nuevo ransomware afecta a los servidores Windows y Linux de Chile

Un ataque de ransomware que comenzó el jueves 25 de agosto afectó a sistemas Windows y Linux operados por la agencia gubernamental chilena, y el incidente fue verificado por el equipo chileno de seguridad informática y respuesta a incidentes (CSIRT).

Según el CSIRT de Chile, los hackers detuvieron todas las máquinas virtuales en ejecución y cifraron sus archivos añadiendo la extensión de nombre de archivo ".crypt". La autoridad explicó que el malware tiene funciones para varios tipos de actividades maliciosas, incluyendo el robo de credenciales de los navegadores web, la lista de dispositivos desmontables para el cifrado y la evasión de la detección antivirus mediante tiempos de espera de ejecución.

El ataque de ransomware es un ataque de doble extorsión. Los atacantes proporcionaron al CSIRT chileno un canal de comunicación a través del cual podían negociar el pago de un rescate. De este modo, los atacantes podrían evitar la filtración de los archivos y desbloquear los datos cifrados.

Los atacantes fijaron un plazo de tres días y amenazaron con vender los datos robados a otros ciberdelincuentes en la dark web. Aunque el CSIRT chileno no dio el nombre del grupo que estaba detrás del ataque, la extensión adjunta a los archivos cifrados indicaba, sin embargo, que el malware apuntaba al ransomware "RedAlert". El ransomware RedAlert utilizaba la extensión '.encrpt' en ataques dirigidos tanto a servidores Windows como a máquinas Linux-VMWare ESXi.

En su análisis del malware, el analista de amenazas chileno Germán Fernández declaró que la cepa parece ser totalmente nueva y que los investigadores con los que analizó el malware no pudieron vincularlo a familias conocidas.

"Algo particular del ataque, es que los actores de la amenaza distribuyeron la nota de rescate en una etapa previa al despliegue del ransomware como payload final, posiblemente por cuestiones de evasión o para evitar que se filtraran sus datos de contacto al compartir la muestra final", dijo Fernández.

Para protegerse contra nuevos ataques, la organización de ciberseguridad de Chile recomienda una serie de medidas de seguridad a todos los organismos gubernamentales y grandes organizaciones privadas. Entre ellas, utilizar un cortafuegos y una herramienta antivirus correctamente configurados, actualizar los activos de VMware y Microsoft, proteger los datos clave, verificar la configuración de los filtros antispam, implementar la segmentación de la red y parchear y mitigar las nuevas vulnerabilidades.

Las fuentes de este artículo incluyen un artículo en BleepingComputer.