Le groupe chilien Grupo GTD prévient qu’une cyberattaque a touché sa plateforme d’infrastructure en tant que service (IaaS), perturbant les services en ligne.

Grupo GTD est une entreprise de télécommunications offrant des services dans toute l’Amérique latine, avec une présence au Chili, en Espagne, en Colombie et au Pérou. La société fournit divers services informatiques, notamment l’accès à Internet, la téléphonie mobile et fixe, ainsi que les services de centre de données et de gestion informatique.

Dans la matinée du 23 octobre, GTD a subi une cyberattaque qui a impacté de nombreux services, notamment ses centres de données, son accès Internet et la voix sur IP (VoIP).

« Nous comprenons l’importance d’une communication proactive et fluide face aux incidents, c’est pourquoi, conformément à ce dont nous avons discuté précédemment au téléphone, je tiens à vous informer que nous subissons un impact partiel sur les services en raison d’un problème de cybersécurité. incident », lit-on dans une notification d’incident de sécurité de GTD.

« Cet impact se limite à une partie de notre plateforme laas et à certains services partagés (services de téléphonie IP, VPN et système de télévision OTT). Notre COR de communication, ainsi que notre FAI, fonctionnent normalement. »

Pour empêcher la propagation de l’attaque, l’entreprise a déconnecté sa plateforme IaSS d’Internet, ce qui a entraîné ces pannes.

Aujourd’hui, l’équipe chilienne de réponse aux incidents de sécurité informatique (CSIRT) a confirmé que GTD avait subi une attaque de ransomware.

« L’Équipe de Réponse aux Incidents de Sécurité Informatique (CSIRT du Gouvernement) du Ministère de l’Intérieur et de la Sécurité Publique a été informée par la société GTD d’un ransomware qui a affecté une partie de ses plateformes IaaS dans la matinée du lundi 23 octobre », lit-on dans une machine- déclaration traduite sur le Site Internet du CSIRT.

« En conséquence, certains services publics de notre pays ont présenté des indisponibilités sur leurs sites Internet. »

Le CSIRT exige que toutes les institutions publiques qui utilisent les services IaaS de GTD informent le gouvernement en vertu du décret n° 273, qui oblige toutes les agences d’État à signaler tout incident de cybersécurité susceptible de les affecter.

Publication des IOC de ransomware

Bien que le CSIRT n’ait pas divulgué le nom de l’opération de ransomware derrière l’attaque contre GTD, BleepingComputer a appris qu’elle impliquait la variante du ransomware Rorschach précédemment utilisée dans une attaque contre une entreprise américaine.

Le ransomware Rorschach (alias BabLock) est un chiffreur relativement nouveau découvert par Check Point Research en avril 2023. Bien que les chercheurs n’aient pas pu lier le chiffreur à un gang de ransomware particulier, ils ont averti qu’il était à la fois sophistiqué et très rapide, capable de chiffrer un appareil. en 4 minutes et 30 secondes.

Dans un rapport sur l’attaque GTD consulté par BleepingComputer, les auteurs de la menace utilisent les vulnérabilités de chargement latéral des DLL dans les exécutables légitimes de Trend Micro, BitDefender et Cortex XDR pour charger une DLL malveillante.

Cette DLL est l’injecteur Rorschach, qui injectera une charge utile de ransomware appelée « config[.]ini » dans un processus du Bloc-notes. Une fois chargé, le ransomware commencera à chiffrer les fichiers sur l’appareil.

Le CSIRT a partagé ci-dessous les IOC suivants liés à l’attaque contre GTD, u.exe et d.exe étant des exécutables TrendMicro et BitDefender légitimes utilisés dans l’attaque et les DLL contenant le malware.

Le CSIRT chilien recommande à toutes les organisations connectées à l’IaaS de GTD de suivre les étapes suivantes pour confirmer qu’elles n’ont pas été victimes de violation lors de l’attaque :

• Effectuez une analyse complète de votre infrastructure avec un antivirus.
• Vérifiez qu’il n’y a aucun logiciel suspect sur vos systèmes.
• Vérifiez les comptes existants sur votre serveur et confirmez qu’aucun nouveau compte n’a été créé.
• Analysez le traitement et les performances du disque dur pour vous assurer qu’ils ne sont pas altérés.
• Vérifiez s’il existe un quelconque type de variation dans les informations ou fuites de données de l’entreprise et de ses bases de données.
• Vérifiez le trafic de votre réseau.
• Maintenez un enregistrement à jour de vos systèmes pour assurer une surveillance efficace.
• Restreindre l’accès via SSH aux serveurs, uniquement si cela est strictement nécessaire.

Plus tôt cette année, l’armée chilienne a été victime d’une attaque du ransomware Rhysida, au cours de laquelle BleepingComputer a appris que les auteurs de la menace avaient divulgué 360 000 documents volés au gouvernement.

BleepingComputer a contacté Grupo GTD ce matin pour lui poser d’autres questions sur l’attaque, mais n’a pas reçu de réponse.