Зашифровано 330 серверов: Black Hunt наносит удар по латиноамериканским компаниям

Министерство обороны Парагвая предупреждает о кибератаках вируса-вымогателя Black Hunt после того, как на прошлой неделе хакерская атака затронула компанию Tigo Business , предоставляющую облачные сервисы и хостинг.

Tigo является крупнейшим мобильным оператором в Парагвае. Подразделение Tigo Business предлагает цифровые решения для бизнеса, включая консалтинг по кибербезопасности, облачный хостинг и решения для широкополосных сетей.

В выходные местные СМИ сообщили, что с четверга у компаний, размещающих сайты на хостинге Tigo Business, наблюдаются перебои в работе веб-сайтов.

Хотя изначально предполагалось, что Tigo пострадала от кибератаки, компания официально подтвердила инцидент только в выходные, опубликовав заявление:

"4 января мы стали жертвой инцидента безопасности в инфраструктуре Tigo Business Paraguay, который повлиял на работу некоторых конкретных сервисов, используемых небольшой группой клиентов ".

В заявлении также уточняется, что большая часть новостей в интернете неточна, и что атака не затронула интернет, телефонную связь и электронные кошельки Tigo Money.

Сообщается, что было зашифровано более 330 серверов, резервные копии также были скомпрометированы.

В предупреждении, которое позже было удалено с официального сайта, говорится следующее: "Согласно отчетам специалистов по кибербезопасности, данный инцидент является следствием атаки вируса-вымогателя, связанного с хакерской группировкой Black Hunt".

Black Hunt - относительно новая группировка вымогателей, активная с конца 2022 года. Они часто атакуют компании в Южной Америке. Злоумышленники получают доступ к корпоративным сетям и тайно распространяются по устройствам, пока не получат достаточно прав для запуска шифровальщиков.

Шифровальщики удаляют журналы событий Windows , теневые копии томов и файловые журналы NTFS, отключают восстановление Windows. Также они отключают Защитник Windows, добавляют новых пользователей, отключают восстановление системы и блокируют диспетчер задач и команду Выполнить.

Зашифрованные файлы получают расширение в формате [id].[email].Hunt2. В каждой папке создаются новые файлы для шантажа #BlackHunt_ReadMe.hta и #BlackHunt_ReadMe.txt с информацией об атаке и электронной почтой для связи.

Хотя в файле вымогатели утверждают, что им удалось украсть чувствительные данные, подтверждений этому пока нет.