Вымогатель Netwalker на четыре часа нарушил работу КПП в Аргентине
07/09/20
Национальное управление миграции Аргентины (Dirección Nacional de Migraciones), подверглось атаке с использованием программы-вымогателя Netwalker, временно нарушившей работу пограничных контрольно-пропускных пунктов в стране. Это первый известный случай, когда вымогательская атака на федеральное ведомство привела к сбою операций государства.
Об атаке стало известно утром 27 августа нынешнего года, после того как власти начали получать многочисленные обращения с просьбой оказать техническую поддержку от различных КПП. Как выяснилось в результате расследования, инфраструктура ведомства оказалась заражена вредоносным ПО, в основном затронувшем файлы MS Windows (ADAD SYSVOL и SYSTEM CENTER DPM), а также файлы Microsoft Office в рабочих и общих папках.
Для предотвращения дальнейшего распространения вымогательского ПО ведомство отключило компьютерную сеть, используемую службой иммиграции и КПП, в результате работа пунктов пересечения границы была остановлена на 4 часа.
Как сообщило местное издание Infobae, власти не намерены вступать в переговоры с вымогателями и не заинтересованы в возвращении похищенных данных.
В ведомстве не раскрыли сумму требуемого выкупа, но, согласно информации на странице вымогателей в даркнете, хакеры изначально потребовали выкуп в размере $2 млн, но спустя семь дней сума возросла до $4 млн.
Ранее специалисты проекта The DFIR Report опубликовали подробности атаки NetWalker на одну из установленных ими систем-ловушек. В ходе атаки операторы вредоноса авторизовались в системе по RDP, запустили «маячок» (beacon) Colbat Strike, а затем извлекли данные памяти с помощью инструментов ProcDump и Mimikatz. Далее они получили доступ по RDP к контроллеру домена и с помощью инструмента командной строки PsExec запустили программу-вымогатель NetWalker. Весь процесс заражения занял примерно 1 час.