Una organización cibercriminal iraní, ha sido observada, camuflando ataques destructivos contra objetivos israelíes como ataques de ransomware mientras mantiene el acceso a las redes de las víctimas, durante meses, en lo que parece una amplia campaña de espionaje.
El actor de la amenaza, rastreado como Agrius por los investigadores de SentinelLabs, ha apuntado a Israel a partir de diciembre de 2020.
Al principio, el grupo desplegó un malware wiper conocido como DEADWOOD (o Detbosit) diseñado para destruir los datos de los dispositivos infectados y utilizado previamente en ataques contra objetivos de Arabia Saudí en 2019.
Agrius ha hecho una transición lenta hacia el uso de un nuevo malware wiper apodado ‘Apostle’, que, aunque roto en sus primeras variantes, ha reemplazado gradualmente a DEADWOOD y se actualizó en una cepa de ransomware con todas las funciones.
Los atacantes han utilizado múltiples vectores de ataque, incluyendo la inyección SQL, los exploits de FortiOS CVE-2018-13379 y los exploits dirigidos a varias vulnerabilidades de aplicaciones web de 1 día.
Los piratas informáticos iraníes también han desarrollado su propio malware .NET personalizado llamado “IPsec Helper”, diseñado para proporcionar al actor de la amenaza capacidades básicas de puerta trasera para ayudar a entregar malware adicional en hosts comprometidos y exfiltrar datos.
Agrius no es el primer grupo de amenazas vinculado a Irán que despliega malware destructivo contra objetivos de Oriente Medio.
Se cree que el presunto grupo de piratas informáticos APT33, respaldado por Irán, ha estado detrás de múltiples ataques que utilizaron el wiper Shamoon contra objetivos de Oriente Medio y Europa
El malware de borrado de datos apodado ZeroCleare por investigadores de IBM y desarrollado por actores de amenazas respaldados por Irán y rastreados como APT34 (alias Oilrig, ITG13) y Hive0081 (alias xHunt) también fue detectado en ataques dirigidos a organizaciones del sector energético e industrial en Oriente Medio.
La Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) también advirtió en junio de 2019 de un aumento de los ciberataques respaldados por Irán que utilizan herramientas de limpieza destructivas contra la industria y las agencias gubernamentales estadounidenses.
Los actores patrocinados por el Estado han utilizado históricamente los ataques wiper para encubrir otras campañas, incluidos los esfuerzos de ciberespionaje.
Con información de: Bleeping Computer.
Spanish
English
Portuguese
Chinese (Simplified)
Russian
French
German
Dutch
Italian