Las agencias de ciberseguridad de Estados Unidos, Reino Unido, Australia y Canadá han advertido de que ciberdelincuentes patrocinados por el Estado iraní están explotando las vulnerabilidades de Log4j en campañas de ransomware.
Una alerta publicada en la última semana, decía que el Cuerpo de la Guardia Revolucionaria Islámica (IRGC) de Teherán estaba detrás de múltiples ataques que explotaban los fallos de VMware Horizon Log4j en redes desprotegidas para permitir el cifrado de discos y la extorsión de datos.
Entre ellos se encuentran los ataques de febrero contra un gobierno municipal estadounidense y una empresa aeroespacial que aprovecharon el fallo original Log4Shell CVE-2021-44228, así como las vulnerabilidades relacionadas CVE-2021-45046 y CVE-2021-45105.
Esto está en consonancia con anteriores campañas del IRGC que explotaron las vulnerabilidades ProxyShell en Microsoft Exchange y los fallos de día cero en los productos Fortinet FortiOS, según la alerta.
Los actores pueden vender los datos o utilizar los datos exfiltrados en operaciones de extorsión o en operaciones de rescate de “doble extorsión” en las que un actor de la amenaza utiliza una combinación de cifrado y robo de datos para presionar a las entidades objetivo para que paguen las demandas de rescate”.
Si los actores respaldados por el Estado están buscando generar fondos para la República Islámica a través de estos esfuerzos, marcaría una nueva fase en la actividad de las amenazas iraníes. Hasta ahora, Teherán se ha centrado sobre todo en el ciberespionaje con fines geopolíticos y en los ataques destinados a perturbar las infraestructuras físicas y críticas, como en la reciente campaña contra Albania.
Al mismo tiempo, EE.UU. acusó a tres ciudadanos iraníes presuntamente responsables de los ataques de ransomware contra cientos de pequeñas empresas, agencias gubernamentales, organizaciones sin ánimo de lucro e instituciones educativas y religiosas de EE.UU., Reino Unido, Israel e incluso Irán.
Además, el Departamento del Tesoro de Estados Unidos anunció la imposición de sanciones a 10 personas y dos entidades vinculadas a la IRGC, incluidos los tres hombres acusados por el Departamento de Justicia.