Ciberseguridad 360 | GTD Chile sufre ataque de ransomware Rorschach

El Grupo GTD de Chile advierte de que un ciberataque ha afectado a su plataforma de Infraestructura como Servicio (IaaS), interrumpiendo los servicios en l�nea.

Grupo GTD es una empresa de telecomunicaciones que ofrece servicios en toda Latinoam�rica, con presencia en Chile, Espa�a, Colombia y Per�. La empresa presta diversos servicios de TI, como acceso a Internet, telefon�a m�vil y fija, y servicios gestionados de TI y centros de datos.

En la ma�ana del 23 de octubre, GTD sufri� un ciberataque que afect� a numerosos servicios, incluidos sus centros de datos, acceso a Internet y voz sobre IP (VoIP).

"Entendemos la importancia de una comunicaci�n proactiva y fluida ante incidentes, por lo que, de acuerdo con lo que hemos hablado previamente por tel�fono, me gustar�a informarte de que estamos experimentando un impacto parcial en los servicios como consecuencia de un incidente de ciberseguridad", se lee en una notificaci�n de incidente de seguridad de GTD.

"Este impacto se limita a parte de nuestra plataforma laas y a algunos servicios compartidos (servicios de telefon�a IP, VPNs y sistema de televisi�n OTT). Nuestro COR de comunicaciones, as� como nuestro ISP, funcionan con normalidad".

Para evitar la propagaci�n del ataque, la compa��a desconect� su plataforma IaSS de Internet, lo que provoc� estos cortes.

Hoy, el Equipo de Respuesta a Incidentes de Seguridad Inform�tica de Chile (CSIRT) confirm� que GTD sufri� un ataque de ransomware.

"El Equipo de Respuesta a Incidentes de Seguridad Inform�tica (CSIRT del Gobierno) del Ministerio del Interior y Seguridad P�blica fue notificado por la empresa GTD sobre un ransomware que afect� a parte de sus plataformas IaaS durante la ma�ana del lunes 23 de octubre", se lee en un comunicado traducido por m�quina en el sitio web del CSIRT.

"Como consecuencia, algunos servicios p�blicos de nuestro pa�s han presentado indisponibilidad en sus p�ginas web".

El CSIRT est� exigiendo a todas las instituciones p�blicas que utilizan los servicios IaaS de GTD que notifiquen al Gobierno en virtud del decreto n� 273, que obliga a todos los organismos del Estado a informar cuando un incidente de ciberseguridad pueda afectarles.

Publicados los IOC del ransomware

Aunque el CSIRT no ha revelado el nombre de la operaci�n de ransomware detr�s del ataque a GTD, BleepingComputer ha averiguado que se trataba de la variante de ransomware Rorschach utilizada anteriormente en un ataque a una empresa estadounidense.

El ransomware Rorschach (tambi�n conocido como BabLock) es un cifrador relativamente nuevo detectado por Check Point Research en abril de 2023. Aunque los investigadores no pudieron vincular el cifrador a una banda de ransomware concreta, advirtieron de que era sofisticado y muy r�pido, capaz de cifrar un dispositivo en 4 minutos y 30 segundos.

En un informe sobre el ataque GTD visto por BleepingComputer, los actores de la amenaza est�n utilizando vulnerabilidades de carga lateral de DLL en ejecutables leg�timos de Trend Micro, BitDefender y Cortex XDR para cargar una DLL maliciosa.

Esta DLL es el inyector Rorschach, que inyectar� un payload de ransomware llamada "config[.]ini" en un proceso del Bloc de notas. Una vez cargado, el ransomware comenzar� a cifrar los archivos del dispositivo.

CSIRT ha compartido los siguientes IOC relacionados con el ataque a GTD a continuaci�n, siendo u.exe y d.exe los ejecutables leg�timos de TrendMicro y BitDefender utilizados en el ataque y las DLL que contienen el malware.

El CSIRT de Chile recomienda a todas las organizaciones conectadas al IaaS de GTD realizar los siguientes pasos para confirmar que no fueron vulneradas en el ataque:

Realizar un escaneo completo de su infraestructura con antivirus.

Verifique que no haya software sospechoso en sus sistemas.

Revise las cuentas existentes en su servidor y confirme que no se han creado cuentas nuevas.

Analice el procesamiento y el rendimiento del disco duro para asegurarse de que no est� alterado.

Compruebe si existe alg�n tipo de variaci�n en la informaci�n o fuga de datos de la empresa y sus bases de datos.

Compruebe el tr�fico de su red.

Mantenga un registro actualizado de sus sistemas para garantizar una supervisi�n eficaz.

Restrinja el acceso v�a SSH a los servidores, s�lo si es estrictamente necesario.

A principios de este a�o, el ej�rcito chileno sufri� un ataque de ransomware Rhysida, donde BleepingComputer fue informado de que los actores de la amenaza liberaron 360.000 documentos robados al gobierno.

Fuente: bleepingcomputer