Home Ciberguerra Campañas de ransomware, vinculadas a ciberdelincuentes del gobierno iraní

Campañas de ransomware, vinculadas a ciberdelincuentes del gobierno iraní

Investigadores de seguridad han vinculado varias campañas de ransomware a DEV-0270 (también conocido como Nemesis Kitten).

El actor de la amenaza, ampliamente considerado como un subgrupo del actor iraní PHOSPHORUS, lleva a cabo varias operaciones de red maliciosas en nombre del gobierno iraní, según un nuevo escrito de Microsoft.

Sin embargo, a juzgar por los objetivos geográficos y sectoriales del actor de la amenaza (que a menudo carecen de un valor estratégico para el régimen), Microsoft también especuló que algunos de los ataques de DEV-0270 podrían ser una forma de pluriempleo para la generación de ingresos personales o específicos de la empresa.

Desde un punto de vista técnico, el gigante de la tecnología dijo que DEV-0270 aprovecha los exploits, en particular para las vulnerabilidades de alta gravedad recientemente reveladas, para obtener acceso a los dispositivos.

El actor de la amenaza suele obtener el acceso inicial con privilegios de administrador o de sistema inyectando su shell web en un proceso privilegiado de un servidor web vulnerable. A continuación, utiliza WMIExec de Impacket para desplazarse lateralmente a otros sistemas de la red y añade o crea una nueva cuenta de usuario para mantener la persistencia.

También se observó que DEV-0270 utilizaba varias técnicas de evasión defensiva para evitar la detección, como la desactivación del antivirus Microsoft Defender.

En algunos casos en los que el cifrado fue exitoso, Microsoft dijo que el tiempo hasta el rescate (TTR) entre el acceso inicial y la nota de rescate fue supuestamente de alrededor de dos días.

“Se ha observado al grupo exigiendo 8.000 dólares por las claves de descifrado”, escribió la compañía. “Además, se ha observado al actor buscando otras vías para generar ingresos a través de sus operaciones”.

Por ejemplo, en un ataque observado por Microsoft, una organización víctima se negó a pagar el rescate, por lo que el actor publicó los datos robados de la organización para su venta empaquetados en un volcado de base de datos SQL.

“Esperamos que este análisis, que Microsoft está utilizando para proteger a los clientes de ataques relacionados, exponga e interrumpa aún más la expansión de las operaciones de DEV-0270”, escribió el gigante tecnológico.