Преступники, которые ответственны за выявленную в недалеком прошлом деструктивную кампанию с применением хакерского ПО Rhysida, выложили в Сеть новую информацию. По их словам, в этих данных содержатся сведения особой секретности, похищенные у Вооруженных сил Чили.
Об утечке стало известно в конце мая, когда чилийские военные подтвердили атаку на свои системы (она была первый раз зафиксирована 27 числа). После этого сеть изолировали, а затем военные специалисты в области компьютерной безопасности приступили к восстановлению пострадавших систем.
Спустя несколько суток после того, как стало известно об атаке, в средствах массовой информации появились данные об арестах среди армейских чинов, которых сочли причастными к этой хакерской атаке. Согласно имеющимся данным, вымогатели Rhysida представили примерно 360 тыс. документов армии Чили. Также есть сведения, что это лишь 30% от всех данных.
Интересно, что Rhysida позиционирует себя как «команда компьютерной безопасности». Ее основная декларируемая задача – помощь пострадавшим в защите их сетей. Подобный подход к хакерским атакам похож на действия вымогателей Clop, осуществляющих «пентест постфактум». Первый раз деятельность хакеров Rhysida была зафиксирована 17 мая 2023-го.
Разработка Rhysida в настоящее время пока не завершена
С момента первого появления, на интернет-ресурсе этих преступников были опубликованы данные уже 8 пострадавших от их действий лиц. Похищенные данные пяти из них уже были опубликованы. Специалисты сообщают, что связанные с Rhysida преступники используют фишинг для получения доступа к сетям жертв, а затем переносят полезную нагрузку на взломанные системы. Это происходит после базовой развертки C2-площадок.
Проанализированные специалистами образцы вредоносного ПО пользуются алгоритмами ChaCha20. Также эксперты отмечают, что системы Rhysida по-прежнему разрабатываются, так как сейчас в них нет функционала, который изначально присутствует у большей части другого вымогательского ПО независимо от типов.
После выполнения ПО запускается сканирование локальных дисков и шифрование информации. После того как работа деструктивной программы завершается, она оставляет в системе информацию о выкупе. В ней содержатся данные для перехода на сайт преступников, где жертва может получить инструкции о платеже.
По словам аналитиков, Rhysida пока в самом деле лишена значительной части функционала, являющегося обычным для подобного рода хакерского ПО. И все же она представляет опасность, так как может выложить в публичный доступ чувствительную информацию. Из-за этого она становится на один уровень с другими преступными группировками.
Пока нет комментариев к этому посту.