Ο στρατός της Παραγουάης προειδοποιεί για επιθέσεις ransomware του Black Hunt μετά την κυβερνοεπίθεση που υπέστη η Tigo Business την περασμένη εβδομάδα, επηρεάζοντας τις υπηρεσίες cloud και φιλοξενίας στο επιχειρηματικό τμήμα της εταιρείας.
Η Tigo είναι ο μεγαλύτερος πάροχος κινητής τηλεφωνίας στην Παραγουάη, με το τμήμα Tigo Business να προσφέρει ψηφιακές λύσεις στην επιχείρηση, συμπεριλαμβανομένων συμβουλών για την ασφάλεια στον κυβερνοχώρο, φιλοξενίας cloud και data center και λύσεων δικτύου ευρείας περιοχής (WAN).
Το Σαββατοκύριακο, τα τοπικά μέσα ενημέρωσης
έχουν αναφερθεί
ότι οι εταιρείες αντιμετώπιζαν διακοπές στις ιστοσελίδες τους που φιλοξενούνται στο Tigo Business από την Πέμπτη.
Ενώ υπήρχε η υποψία ότι ο Tigo υπέστη κυβερνοεπίθεση, η εταιρεία δεν επιβεβαίωσε επίσημα την επίθεση μέχρι το Σαββατοκύριακο, όταν κυκλοφόρησε μια δήλωση.
“Στις 4 Ιανουαρίου, ήμασταν θύματα ενός περιστατικού ασφαλείας στην υποδομή Tigo Business Paraguay ως υπηρεσία, το οποίο επηρέασε την κανονική παροχή ορισμένων συγκεκριμένων υπηρεσιών σε μια περιορισμένη ομάδα πελατών στον εταιρικό τομέα (εταιρείες).” αναφέρει ανακοίνωση της Tigo Business.
Η δήλωση συνεχίζει λέγοντας ότι πολλές από τις ειδήσεις που αναφέρονται στο διαδίκτυο είναι ανακριβείς και ότι η επίθεση δεν επηρέασε το διαδίκτυο, τις τηλεφωνικές υπηρεσίες και τα ηλεκτρονικά πορτοφόλια Tigo Money.
Αν και η Tigo δεν έδωσε λεπτομέρειες σχετικά με την κυβερνοεπίθεση, πολλές αναφορές στα μέσα κοινωνικής δικτύωσης αναφέρουν ότι υπέστησαν επίθεση από την επιχείρηση ransomware Black Hunt.
Αυτές οι αναφορές ανέφεραν ότι περισσότεροι από 330 διακομιστές ήταν
κρυπτο
γραφημένοι και τα αντίγραφα ασφαλείας παραβιάστηκαν κατά τη διάρκεια της επίθεσης.
Την επόμενη μέρα, η Γενική Διεύθυνση Τεχνολογιών Πληροφοριών και Επικοινωνιών των Ενόπλων Δυνάμεων της Παραγουάης (FFAA) εξέδωσε προειδοποίηση προειδοποιώντας τις εταιρείες στη χώρα για επιθέσεις ransomware του Black Hunt.
«Το DSIRT-MIL της DIGETIC/FFAA εκδίδει επίσημη ειδοποίηση σχετικά με το πρόσφατο περιστατικό κυβερνοασφάλειας που έχει επηρεάσει σημαντικά έναν από τους κύριους παρόχους υπηρεσιών διαδικτύου στη χώρα και που είχε άμεσο αντίκτυπο σε περισσότερες από 300 εταιρείες που σχετίζονται με Ο εν λόγω χειριστής, διακυβεύει τα αντίγραφα ασφαλείας, τις ιστοσελίδες, τα μηνύματα ηλεκτρονικού ταχυδρομείου και τον αποθηκευτικό τους χώρο στο cloud», έγραφε μια προειδοποίηση που έχει πλέον διαγραφεί από το DSIRT-MIL της Παραγουάης.
«Το περιστατικό που συνέβη, σύμφωνα με αναφορές ειδικών στον τομέα της κυβερνοασφάλειας, είναι μια μόλυνση με ransomware που συνδέεται με μια ομάδα κυβερνοεγκληματιών που ονομάζεται Black Hunt».
Το δελτίο διαγράφηκε σύντομα, με το DSIRT-MIL να δηλώνει ότι δεν συνδέεται με κανένα περιστατικό κυβερνοασφάλειας.
Ποιος είναι το ransomware Black Hunt
Η επιχείρηση ransomware Black Hunt ξεκίνησε στα τέλη του
2022
, όταν ξεκίνησαν οι ερευνητές στον τομέα της κυβερνοασφάλειας
αναφορά επιθέσεων
. Από πολλά θύματα που βλέπει το BleepingComputer, οι φορείς απειλών επιτίθενται συνήθως σε εταιρείες στη Νότια Αμερική.
Όπως και άλλες λειτουργίες ransomware, οι παράγοντες απειλών παραβιάζουν τα εταιρικά δίκτυα και εξαπλώνονται σιωπηλά πλευρικά σε άλλες
συσκευές
έως ότου αποκτήσουν αρκετή πρόσβαση για να αναπτύξουν τους κρυπτογραφητές στο δίκτυο.
Όταν εκκινηθούν οι κρυπτογραφητές, θα εκτελέσουν τις ακόλουθες εντολές για να διαγράψουν τα αρχεία καταγραφής συμβάντων των Windows, να διαγράψουν τα αντίγραφα τόμου σκιάς και τα περιοδικά NTFS και να απενεργοποιήσουν τις επιλογές ανάκτησης των Windows.
cmd.exe /c vssadmin.exe Delete Shadows /all /quiet
cmd.exe /c bcdedit /set {default} recoveryenabled No
cmd.exe /c bcdedit /set {default} bootstatuspolicy IgnoreAllFailures
cmd.exe /c fsutil.exe usn deletejournal /D C:
cmd.exe /c wbadmin.exe delete catalog -quiet
cmd.exe /c schtasks.exe cmd.exe /change /TN "MicrosoftWindowsSystemRestoreSR" /disable
cmd.exe /c wevtutil.exe cl Setup
cmd.exe /c wevtutil.exe cl System
cmd.exe /c wevtutil.exe cl Application
cmd.exe /c wevtutil.exe cl Security
cmd.exe /c wevtutil.exe cl Security /e:false
Εκτός από τα παραπάνω, το Black Hunt θα πραγματοποιήσει πολλές αλλαγές στα Windows, συμπεριλαμβανομένης της απενεργοποίησης του Microsoft Defender, της προσθήκης νέων χρηστών, της απενεργοποίησης της Επαναφοράς Συστήματος και της απενεργοποίησης της Διαχείρισης Εργασιών και της εντολής Εκτέλεση.
Ενώ όλες οι συσκευές Windows θα πρέπει να αποκατασταθούν μετά από μόλυνση από κακόβουλο λογισμικό, αυτές που έχουν μολυνθεί με το Black Hunt θα είναι αρκετά άχρηστες μέχρι να
επα
νεγκατασταθούν τα Windows.
Κατά την κρυπτογράφηση αρχείων, ο κρυπτογράφησης ransomware θα προσαρτήσει μια επέκταση στη μορφή
[unique_id].[contact_email].Κυνήγι2
(νέες εκδόσεις) ή
[unique_id].[contact_email].Μαύρος
(παλιές εκδόσεις).
Αρχεία κρυπτογραφημένα από το ransomware Black Hunt
Πηγή: BleepingComputer
Σε κάθε φάκελο, ο κρυπτογραφητής θα δημιουργήσει σημειώσεις λύτρων με τα ονόματα #BlackHunt_ReadMe.hta και #BlackHunt_ReadMe.txt, οι οποίες περιέχουν πληροφορίες σχετικά με την επίθεση και διευθύνσεις email που μπορούν να χρησιμοποιηθούν για να επικοινωνήσετε με τους φορείς απειλών.
Σημείωμα λύτρων Black Hunt
Πηγή: BleepingComputer
Ενώ οι σημειώσεις για τα λύτρα υποστηρίζουν ότι οι χάκερ κλέβουν δεδομένα κατά τη διάρκεια επιθέσεων, δεν έχουν υπάρξει γνωστές περιπτώσεις διαρροής κλεμμένων δεδομένων από τη λειτουργία ransomware.
Επιπλέον, ένας ιστότοπος Tor που αναφέρεται στην έκδοση HTML του σημειώματος λύτρων δεν λειτουργεί και φαίνεται ψεύτικος.
Ωστόσο, καθώς οι φορείς της απειλής είχαν πλήρη πρόσβαση σε κρυπτογραφημένες συσκευές, είναι ασφαλέστερο να υποθέσουμε ότι τα δεδομένα εκτέθηκαν κατά τη διάρκεια επιθέσεων.
VIA:
bleepingcomputer.com
