Атака началась с серверов VMware ESXI и служб Microsoft.
Группа реагирования на инциденты кибербезопасности Чили (CSIRT) заявила, что одно из госучреждений страны подверглось атаке программы-вымогателя, нацеленной на корпоративные службы Microsoft и серверы VMware — поставщик программного обеспечения для виртуализации и облачных вычислений, базирующийся в Пало-Альто, Калифорния. Компания VMware, основанная в 1998 году, является дочерней компанией Dell Technologies. Корпорация EMC первоначально приобрела VMware в 2004 году; Позже EMC была приобретена Dell Technologies в 2016 году. VMware основывает свои технологии виртуализации на своем гипервизоре ESX/ESXi без операционной системы с архитектурой x86.
Аналитик программ-вымогателей Recorded Future Аллан Лиска сказал, что расширение связано с программой-вымогателем Thanos , но оно также было связано и с другими программами.
Злоумышленник смог получить полный контроль над системой жертвы и оставил записку с требованием выкупа, в которой также предложил способы связаться с ним. Программа-вымогатель обошла антивирусное ПО и зашифровала многие файлы, а также украла учетные данные из браузеров и определила подключенные устройства и диски.
По словам агентства, во время атаки расширение «.crypt» было добавлено ко всем файлам в системе ведомства. Хакер пригрозил продать информацию в дарквебе, если агентство не ответит в течение трех дней.
Ни одна группа вымогателей пока не взяла на себя ответственность за атаку. CSIRT Чили в своем объявлении также поделилась индикаторами компрометации и характеристиками вредоносного ПО.
Специалисты призвали другие правительственные учреждения убедиться, что их активы Microsoft и VMware исправлены, внедрить сегментацию сети и связаться со специалистами по кибербезопасности в случае любой атаки.
