Pablo Flórez Cyber Security Sr Engineer

El Servicio Nacional del Consumidor de Chile (Sernac), una agencia dependiente del estado chileno, fue víctima de un ataque de ransomware el 25 de agosto. SERAC lo confirmó en un comunicado difundido a través de sus canales oficiales. El incidente provocó interrupciones en sus sistemas y servicios en línea.

 El Equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT) de Chile emitió una alerta en la que informó que el ataque comprometió los servidores Microsoft y VMware del organismo público. Además, agregó que el ransomware utilizado cifra los archivos en las computadoras infectadas, cambia su extensión a .crypt y es capaz de interrumpir el funcionamiento de las máquinas virtuales.

Como resultado de la infección, los archivos asumen la extensión “.crypt”.Posteriormente, Los ciber atacantes toman el control total del sistema de la víctima y dejan una nota de rescate informando la cantidad de datos secuestrados, proporcionando un canal de comunicación y una identificación específica para contactarlos. Los ciber atacantes dieron tres días para comunicarse o amenazaron con impedir que la organización acceda a los datos y venda los activos a terceros en la Darkweb.

El ataque al SERNAC se suma a la lista de entidades públicas afectados por ransomware en lo que va de 2022, primero el ataque del Grupo Conti afectó a varias organizaciones públicas en Costa Rica, y solo unos días después de que el Grupo Hive atacara a la Caja Costarricense del Seguro Social, Conti golpeó a las organizaciones públicas en Perú. sumando estos casos al ataque de ransomware Play contra el poder judicial en Córdoba, Argentina, y el ataque de ransomware Quantum contra agencias gubernamentales en la República Dominicana la semana pasada.

En este boletín y con información del CSIRT de Chile, compartimos algunos indicadores de compromiso y firmas de Malware que se pudieron observar en relación con este incidente

Cambio de los nombres de los archivos al encriptar: C:\Users\Admin\Pictures\DebugSelect.raw => C:\Users\Admin\Pictures\DebugSelect.raw.crypt

IoC de archivos
  •  exe
  • SHA256; 39b74b2fb057e8c78a2ba6639cf3d58ae91685e6ac13b57b70d2afb158cf742d
  • bat
  • SHA256; ac73234d1005ed33e94653ec35843ddc042130743eb6521bfd3c32578e926004
  • exe
  • SHA256: c42834ac1c8efc19c44024f1e4960c5a9aaab05dc9fceb0d1596ffe0c244f5f2
Recomendaciones:

Asegurar que todos los componentes de sus sistemas (PC y servidores) estén protegidos por programas antimalware, firewall, IPS entre otros. Revisar que sus activos de VMware y Microsoft se encuentren actualizados y protegidos. Chequear periódicamente que todo su software esté actualizado. Contar con respaldos para sus datos y procesos más importantes, los que deben estar separados (en el mejor de los casos, incluso físicamente). Reforzar la concientización de los colaboradores sobre la importancia de desconfiar de los correos electrónicos que reciben, especialmente si incluyen archivos adjuntos, y que informen a los encargados de ciberseguridad si reciben un correo sospechoso. Verificar y fortalecer las configuraciones de sus servicios antispam, ya que los correos electrónicos son la principal vía de acceso de programas maliciosos. Implementar la segmentación de la red y controlar los privilegios de los usuarios para ajustarse a sus requerimientos.

Fuentes:

Info@etek.com

Colombia                         Perú                                  India

+57 (1) 2571520                +51 (1) 6124343                 +91-9873451221