Microsoft ostrzega przed irańskimi grupami hakerskimi przechodzącymi na ransomware
Grupy powiązane z Iranem coraz częściej sięgają po oprogramowanie ransomware jako środek do generowania przychodów i celowego sabotowania swoich celów, jednocześnie angażując się w cierpliwe i uporczywe kampanie socjotechniczne oraz agresywne ataki.
Badacze z Microsoft Threat Intelligence Center (MSTIC) ujawnili, że co najmniej sześciu cyberprzestępców powiązanych z krajem Azji Zachodniej wdraża oprogramowanie ransomware, aby osiągnąć swoje cele strategiczne ”.
Na uwagę zasługuje cyberprzestępca śledzony jako Phosphorus (znany również jako Charming Kitten lub APT35), który skanuje adresy IP w Internecie w poszukiwaniu niezałatanych Forti OS SSL VPN i lokalnych serwerów Exchange, aby uzyskać wstępny dostęp do podatnych sieci, zanim przejdzie do wdrażania kolejnych etapów, które umożliwiają hakerom przechodzenie na inne maszyny i wdrażanie oprogramowania ransomware.
Inną taktyką uwzględnioną w playbooku jest wykorzystywanie sieci fikcyjnych kont w mediach społecznościowych, w tym podszywania się pod atrakcyjne kobiety, w celu budowania zaufania wśród swoich celów, kampanie te trwają kilka miesięcy i ostatecznie ofiara otrzymuje zainfekowany dokument zawierający złośliwe oprogramowanie, które umożliwi wyprowadzanie danych z systemów ofiar. Zauważono, że zarówno Phosphorus, jak i drugi cyberprzestępca o pseudonimie Curium stosują „cierpliwe” metody socjotechniki, aby zdyskredytować swoje cele
„Atakujący z czasem budują relacje z docelowymi użytkownikami poprzez stałą i ciągłą komunikację, która pozwala im budować zaufanie ” – wskazali naukowcy z MSTIC. W wielu przypadkach, które zaobserwowaliśmy, cele rzeczywiście wierzyły, że nawiązują kontakt z ludźmi i nie wchodzą w interakcję z cyberprzestępcą działającym z Iranu”.
Trzecim trendem jest wykorzystywanie ataków rozproszonych na hasła, w tym przypadku atakowani są użytkownicy usług Office 365, celem są amerykańskie, europejskie i izraelskie firmy zajmujące się technologiami obronnymi.
Grupy hakerów wykazały również zdolność do adaptacji i zmian w zależności od swoich celów strategicznych, ewoluując w „bardziej kompetentnych cyberprzestępców”. Grupy te są biegłe w operacjach zakłócających i informacyjnych, przeprowadzają szereg ataków, takich jak cyberszpiegostwo, ataki typu phishing, wykorzystują mobilne oprogramowanie malware, ransomware, a nawet przeprowadzanie ataków w ramach łańcucha dostaw.
Ustalenia są szczególnie istotne w świetle nowego ostrzeżenia wydanego przez agencję bezpieczeństwa cybernetycznego z Australii, Wielkiej Brytanii i USA, ostrzegają przed trwającą falą włamań przeprowadzanych przez sponsorowaych przez rząd irański grupy hakerskie wykorzystujące luki w zabezpieczeniach Microsoft Exchange ProxyShell i Fortinet.
„Hakerzy APT sponsorowani przez irański rząd mogą wykorzystać ten dostęp do dalszych operacji, takich jak eksfiltracja lub szyfrowanie danych, oprogramowanie ransomware i wyłudzenia” – poinformowały agencje we wspólnym biuletynie opublikowanym w 17.11.2021.