En un comunicado, el Equipo de Respuesta ante Incidentes de Seguridad Informática (CSIRT) informó que "la naturaleza del incidente corresponde a un ransomware que afectó servidores Microsoft y VMware ESXi en redes corporativas de la institución". El hecho se da luego del ingreso de hackers a los sistemas del Servicio Nacional del Consumidor.
Este lunes, el Equipo de Respuesta ante Incidentes de Seguridad Informática, CSIRT de Gobierno, informó sobre un "incidente en progreso que afecta a un servicio del gobierno durante la jornada del jueves 25 de agosto", el que interrumpió el "funcionamiento de sus sistemas y servicios en línea".
Tras el ataque al Servicio Nacional del Consumidor, indicaron que "la naturaleza del incidente corresponde a un ransomware que afectó servidores Microsoft y VMware ESXi en redes corporativas de la institución".
De acuerdo a lo que explicaron, el ransomware afectado "tiene la capacidad de detener todas las máquinas virtuales en ejecución y cifrar archivos relacionados con las máquinas virtuales".
En esa línea, detallaron que gracias al resultado de la "infección", los archivos asumen la extensión ".crypt" y que luego de eso el "atacante" puede tomar todo el control del sistema de la víctima y que "deja un mensaje de rescate informando la cantidad de datos secuestrados, ofreciendo un canal de comunicación y un ID específico para contactarse con ellos".
"El atacante da un plazo de tres días para comunicarse, de lo contrario amenaza con impedir que los datos sean accesibles para la organización y poner estos activos a la venta a terceros en la darkweb", agregaron.
Dicho ransomware utilizaría el "algoritmo de cifrado de clave pública NTRUEncrypt, dirigido a archivos de registro (.log), archivos ejecutables (.exe), archivos de bibliotecas dinámicas (.dll), archivos de intercambio (.vswp), discos virtuales (.vmdk), archivos de instantáneas (.vmsn) y archivos de memoria (.vmem) de máquinas virtuales, entre otros".
Desde el CSIRT de Gobierno compartimos con ustedes algunos indicadores de compromiso que encontramos en relación con el ataque de ransomware sufrido por una entidad gubernamental y que informamos el jueves #CSIRTGob #ciberseguridad https://t.co/G4zDrVNLld pic.twitter.com/pT8oOntJN2— CSIRT GOB CL (@CSIRTGOB) August 29, 2022
Consultados por CHV Noticias, desde Servel indicaron que sus servidores no fueron afectados por este ataque, de cara a lo que será el plebiscito del próximo 4 de septiembre.