Grupo de hackers iraníes ataca a Israel con un limpiaparabrisas disfrazado de ransomware

Se ha observado a un grupo de hackers iraníes que disfraza ataques destructivos contra objetivos israelíes como ataques de ransomware, manteniendo el acceso a las redes de las víctimas durante meses en lo que parece ser una vasta campaña de espionaje.

El actor de la amenaza, rastreado como Agriusl por los investigadores de SentinelLabs, apuntó a Israel a partir de diciembre de 2020.

"Inicialmente involucrado en actividades de espionaje, Agrius desplegó una serie de destructivos ataques de limpieza contra objetivos israelíes, disfrazando la actividad como ataques de ransomware", dijo Amitai Ben Shushan Ehrlich, investigador de inteligencia de amenazas de SentinelOne.

Índice de contenidos()

    De limpiaparabrisas a ransomware completamente funcional

    Inicialmente, el grupo distribuyó un malware de limpiaparabrisas conocido como DEADWOOD (o Detbosit) diseñado para destruir datos en dispositivos infectados y previamente utilizado en ataques. contra objetivos de Arabia Saudita en 2019.

    Agrius ha pasado lentamente al uso de un nuevo malware de limpiaparabrisas llamado "Apostle", que, aunque no funciona en sus primeras variantes, ha reemplazado gradualmente a DEADWOOD y se ha actualizado a una variedad de ransomware completo.

    Los atacantes utilizaron múltiples vectores de ataque, incluida la inyección SQL, exploits FortiOS CVE-2018-13379 y exploits dirigidos a varias vulnerabilidades de aplicaciones web de 1 día.

    "Creemos que la implementación de la funcionalidad de cifrado sirve para enmascarar su verdadera intención: destruir los datos de las víctimas", agregó el investigador.

    "Esta tesis está respaldada por una versión anterior de Apostle que el atacante llamó internamente" acción de limpiador ". Esta primera versión se lanzó en un intento de borrar los datos, pero no lo logró, posiblemente debido a una falla lógica en el malware.

    "La ejecución defectuosa llevó al despliegue del limpiaparabrisas DEADWOOD. Esto, por supuesto, no impidió que los atacantes exigieran un rescate".

    Los piratas informáticos iraníes también han desarrollado su propio malware .NET personalizado llamado "IPsec Helper" diseñado para proporcionar al actor de amenazas una funcionalidad básica de puerta trasera para ayudar a entregar malware adicional a los hosts comprometidos y exfiltrar datos.

    Puede encontrar una lista completa de todos los comandos admitidos por la puerta trasera de IPsec Helper en SentinelOne informe completo.

    Corriente de ataque de Agrius
    Flujo de ataque de Agrius (SentinelOne)

    Ransomware utilizado para disfrazar espionaje y ataques destructivos

    Agrius no es el primer grupo de amenazas vinculado a Irán que implementa malware de limpiaparabrisas destructivo contra objetivos de Oriente Medio.

    Se cree que el presunto grupo de piratas informáticos APT33 respaldado por Irán estuvo detrás de múltiples ataques que utilizaron el limpiaparabrisas Shamoon contra objetivos de Oriente Medio y Europa. [1, 2].

    El malware de eliminación de datos denominado ZeroCleare por investigadores de IBM y desarrollado por autores de amenazas respaldados por Irán, rastreado como APT34 (también conocido como Oilrig, ITG13) y Hive0081 (también conocido como xHunt), también se ha detectado en ataques dirigidos a organizaciones del sector energético e industrial en el Oriente Medio.

    La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) también advirtió en junio de 2019 sobre un aumento en los ataques cibernéticos respaldados por Irán que utilizan herramientas de limpieza destructivas contra la industria y las agencias gubernamentales de EE. UU.

    Los actores patrocinados por el estado han utilizado históricamente ataques de limpiaparabrisas para encubrir otras campañas, incluidos los esfuerzos de ciberespionaje.

    Otro grupo de piratas informáticos respaldado por Irán conocido como Fox Kitten también se ha relacionado con la operación de ransomware Pay2Key que ha estado apuntando a organizaciones en Israel y Brasil desde noviembre, lo que sugiere una campaña iraní coordinada más amplia.

    "El uso de ransomware como herramienta disruptiva suele ser difícil de probar, ya que es difícil determinar las intenciones de un actor de amenazas", concluyó el investigador de SentinelOne.

    "El análisis de malware de Apostle proporciona una visión poco común de tales ataques, trazando una línea clara entre lo que comenzó como un malware de limpiaparabrisas y un ransomware completamente operativo".

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

    Subir