Cyberthreat.id – Tim respons insiden dan keamanan komputer nasional Chili (CSIRT) telah mengumumkan bahwa serangan ransomware telah berdampak pada operasi dan layanan online salah satu lembaga pemerintah di negara tersebut.

Dikutip dari Bleeping Computer, serangan itu mulai terjadi pada Kamis, 25 Agustus, menargetkan server Microsoft dan VMware ESXi yang dioperasikan oleh agensi tersebut.

“Peretas menghentikan semua mesin virtual yang sedang berjalan dan mengenkripsi file mereka, menambahkan ekstensi nama file .”crypt",” kata CSIRT Chili.

Lembaga itu mengatakan, ransomware akan menggunakan algoritma enkripsi kunci publik NTRUEncrypt, menargetkan file log (.log), file yang dapat dieksekusi (.exe), file perpustakaan dinamis (.dll), file swap (.vswp), disk virtual (.vmdk), snapshot (.vmsn) file, dan file memori mesin virtual (.vmem), antara lain," - Chile CSIRT

Malware yang digunakan dalam serangan ini juga memiliki fungsi untuk mencuri kredensial dari browser web, mencantumkan perangkat yang dapat dilepas untuk enkripsi, dan menghindari deteksi antivirus menggunakan waktu tunggu eksekusi.

Sementara itu, dalam mode pemerasan ganda yang khas, para penyusup menawarkan saluran komunikasi CSIRT Chili untuk menegosiasikan pembayaran uang tebusan yang akan mencegah kebocoran file dan membuka kunci data terenkripsi.

“Penyerang menetapkan tenggat waktu tiga hari dan mengancam akan menjual data yang dicuri ke penjahat siber lainnya di web gelap,” kata CSIRT Chili.

Namun, pengumuman CSIRT Chili tidak menyebutkan kelompok ransomware yang bertanggung jawab atas serangan tersebut, juga tidak memberikan detail yang cukup yang akan mengarah pada identifikasi malware. Bahkan, ekstensi yang ditambahkan ke file terenkripsi tidak memberikan petunjuk apa pun karena telah digunakan oleh banyak pelaku ancaman.

Sementara sedikit informasi yang diberikan CSIRT Chili tentang perilaku malware menunjuk ke ransomware 'RedAlert' (alias "N13V"), sebuah operasi yang diluncurkan pada Juli 2022, detail teknis menyarankan sebaliknya.

RedAlert ransomware menggunakan ekstensi ".crypt" dalam serangan, menargetkan server Windows dan mesin VMWare ESXi Linux, mampu menghentikan semua VM yang berjalan sebelum enkripsi, dan menggunakan algoritma enkripsi kunci publik NTRUEncrypt.

Namun, indikator kompromi (IoCs) dalam pengumuman CSIRT Chili terkait dengan Conti atau memberikan hasil yang tidak meyakinkan ketika dimasukkan ke sistem analisis otomatis.

Conti sebelumnya telah dikaitkan dengan serangan terhadap seluruh negara, seperti yang terjadi di Kosta Rika pada Juli 2022, yang membutuhkan waktu lima hari sejak mendapatkan akses awal untuk mencuri dan mengenkripsi sistem.

Threat Analyst Chili, Germán Fernández mengatakan kepada BleepingComputer bahwa jenisnya tampaknya sama sekali baru, dan para peneliti yang dia ajak bicara tidak dapat mengaitkan malware dengan keluarga yang dikenal.

Fernandez juga berkomentar bahwa catatan tebusan tidak dibuat selama infeksi, detail yang dapat dikonfirmasi oleh BleepingComputer. Peneliti mengatakan bahwa catatan itu dikirimkan sebelum menyebarkan malware pengunci file.

"Satu hal khusus tentang serangan itu, adalah bahwa pelaku ancaman mendistribusikan catatan tebusan pada tahap sebelumnya ke penyebaran ransomware sebagai muatan akhir, mungkin untuk masalah penghindaran atau untuk menghindari kebocoran detail kontak mereka saat membagikan sampel akhir. " kata Fernández.

BleepingComputer mampu menganalisis beberapa sampel malware yang digunakan untuk serangan dan mengambil catatan tebusan bernama 'readme_for_unlock.txt'. Semua catatan tebusan yang telah dilihat BleepingComputer ketika menganalisis jenis ransomware ini menyertakan tautan ke situs web unik di jaringan Tor bersama dengan kata sandi untuk masuk.

Sejauh ini, situs kebocoran data untuk ransomware ini belum ada. Situs Tor adalah untuk menampilkan kotak pesan di mana korban dapat menghubungi peretas. Sedangkan, untuk mengakses saluran komunikasi di atas memerlukan kata sandi, yang termasuk dalam catatan tebusan.

Dari apa yang BleepingComputer dapat pelajari sejauh ini tentang ransomware ini, ini adalah operasi baru yang diluncurkan pada awal Agustus.