Un nouveau ransomware frappe les serveurs Windows et Linux du Chili

Une attaque par ransomware qui a débuté le jeudi 25 août a touché les systèmes Windows et Linux exploités par l'agence gouvernementale chilienne. L'incident a été vérifié par l'équipe chilienne de sécurité informatique et de réponse aux incidents (CSIRT).

Selon le CSIRT du Chili, les pirates ont arrêté toutes les machines virtuelles en cours d'exécution et ont crypté leurs fichiers en ajoutant l'extension de nom de fichier ".crypt". L'autorité a expliqué que le malware possède des fonctions pour divers types d'activités malveillantes, notamment le vol d'informations d'identification à partir de navigateurs Web, la liste des dispositifs détachables pour le chiffrement et l'évitement de la détection antivirus au moyen de délais d'exécution.

L'attaque par ransomware est une double extorsion. Les attaquants ont fourni au CSIRT chilien un canal de communication par lequel ils pouvaient négocier le paiement d'une rançon. Cela permettra d'empêcher les attaquants de divulguer les fichiers et de déverrouiller les données cryptées.

Les attaquants ont fixé un délai de trois jours et ont menacé de vendre les données volées à d'autres cybercriminels sur le dark web. Si le CSIRT chilien n'a pas nommé le groupe à l'origine de l'attaque, l'extension attachée aux fichiers cryptés indique toutefois que le logiciel malveillant est un ransomware de type "RedAlert". Le ransomware RedAlert utilisait l'extension '.encrpt' dans des attaques visant à la fois des serveurs Windows et des machines Linux-VMWare ESXi.

Dans son analyse du malware, l'analyste chilien des menaces Germán Fernández a déclaré que la souche semble être entièrement nouvelle et que les chercheurs avec lesquels il a analysé le malware n'ont pas pu le relier à des familles connues.

"Une particularité de cette attaque est que les acteurs de la menace ont distribué la note de rançon à un stade antérieur au déploiement du ransomware en tant que charge utile finale, peut-être pour des raisons d'évasion ou pour éviter que leurs coordonnées ne soient divulguées lors du partage de l'échantillon final", a déclaré Fernández.

Pour se protéger contre de nouvelles attaques, l'organisation chilienne de cybersécurité recommande un certain nombre de mesures de sécurité à toutes les agences gouvernementales et aux grandes organisations privées. Il s'agit notamment de l'utilisation d'un pare-feu et d'un outil antivirus correctement configurés, de la mise à jour des actifs VMware et Microsoft, de la sécurisation des données clés, de la vérification de la configuration des filtres anti-spam, de la mise en place d'une segmentation du réseau, ainsi que de la correction et de l'atténuation des nouvelles vulnérabilités.

Les sources de cet article comprennent un article de BleepingComputer.