Un grupo de amenazas persistentes avanzadas vinculado a Irán está utilizando un nuevo ransomware para atacar a un adversario conocido en Oriente Medio, según han descubierto los investigadores.
El Equipo de Respuesta a Incidentes de Check Point investigó el despliegue del ransomware contra organizaciones israelíes y reivindicado por un grupo autodenominado Moneybird. Los investigadores descubrieron que llevaba el sello de Agrius, un grupo de hackers que existe desde 2020 y que ha intentado camuflarse con alias como BlackShadow.
El grupo es conocido por haber atacado a la compañía de seguros israelí Shirbit con ransomware a finales de 2020 y a la Universidad Bar-Ilan en 2021, y por desplegar ataques wiper.
Según los investigadores de Check Point, Moneybird es un producto nuevo para el grupo. La mayoría de sus ataques anteriores se han llevado a cabo con un ransomware llamado Apostle.
“El uso de un nuevo ransomware, escrito en C++, es digno de mención”, escribieron, “ya que demuestra la expansión de las capacidades del grupo y el esfuerzo continuo en el desarrollo de nuevas herramientas.”
Los investigadores no dieron más detalles sobre el tipo de organizaciones a las que iba dirigido, pero afirmaron que, a pesar de la nueva carga útil, las técnicas utilizadas llevaban el sello de Agrius.
Al igual que en ataques anteriores, los autores de la amenaza accedían a través de servidores web públicos y el despliegue de “variantes únicas de ASPXSPY”, un script malicioso que ocultaban en archivos de texto “certificados”.
A continuación, se desplazaban lateralmente dentro de las redes, realizando tareas de reconocimiento y extrayendo datos. El grupo utiliza “rutas específicas” que programan el ransomware para ignorar la mayoría de los archivos en una red objetivo, dijo Check Point.
Según un informe reciente de Microsoft Threat Intelligence, el gobierno iraní se centra cada vez más en combinar operaciones de influencia con ciberataques. El año pasado se relacionaron 24 “operaciones cibernéticas” con el gobierno iraní, frente a las siete del año anterior, y se observó un descenso correspondiente en los tipos de ataques de ransomware y wiper típicamente desplegados por Agrius.
Esta semana, sin embargo, la empresa de ciberinteligencia ClearSky informó de que un supuesto grupo APT iraní había atacado ocho sitios web israelíes relacionados con el transporte marítimo y la logística en ataques de tipo watering hole, en los que se ataca a usuarios concretos infectando los sitios que visitan habitualmente. Los investigadores de ClearSky vincularon los ataques “con una confianza baja” al grupo de hackers iraní Tortoiseshell, también llamado TA456 e Imperial Kitten.
Spanish
English
Portuguese
Chinese (Simplified)
Russian
French
German
Dutch
Italian