Según el nuevo análisis, Irán estaba vinculado a otra operación de ransomware patrocinada por el estado a través de una empresa contratada con sede en el país.
«El Cuerpo de la Guardia Revolucionaria Islámica de Irán (IRGC) ha llevado a cabo una campaña contra el ransomware patrocinada por el estado a través de una empresa contratista iraní llamada ‘Emen Net Pasargard’ (ENP)», dijo la firma de seguridad cibernética Flashpoint en sus hallazgos que resumen tres documentos filtrados. por una entidad anónima llamada Read. My Lips o Lab Dookhtegan entre el 19 de marzo y el 1 de abril a través de su canal de Telegram.
Se dice que la iniciativa del «Proyecto Señal» comenzó en algún momento entre finales de julio de 2020 y principios de septiembre de 2020, cuando la organización de investigación interna ENP llamó al «Centro de Estudios» elaboró una lista de sitios web objetivo no especificados.
La segunda tabla, verificada por Flashpoint, explicaba explícitamente la motivación financiera del proyecto con planes para lanzar operaciones de ransomware a fines de 2020 durante cuatro días entre el 18 y el 21 de octubre. Otro documento describía los flujos de trabajo, incluidos los pasos para aceptar pagos de bitcoins de víctimas de ransomware y descifrar datos bloqueados.
No está claro de inmediato si estos ataques se realizaron de acuerdo con el plan y a quién estaban dirigidos.
«El ENP opera en nombre de los servicios de inteligencia iraníes, que brindan capacidades cibernéticas y apoyo al Cuerpo de la Guardia Revolucionaria Islámica de Irán (IRGC), la Fuerza Quds del IRGC (IRGC-QF) y el Ministerio de Inteligencia y Seguridad de Irán (MOIS), » dijeron los investigadores.
A pesar de los temas de ransomware del proyecto, los investigadores creen que es probable que la medida sea una «técnica fraudulenta» para imitar las tácticas, técnicas y prácticas (TTP) de otros grupos de ciberdelincuentes motivados financieramente para dificultar la atribución y adaptarse a la amenaza.
Curiosamente, el lanzamiento de Project Signal también fue parte de otra campaña de ransomware iraní llamada «Pay2Key», que capturó a decenas de empresas israelíes en noviembre y diciembre de 2020. La compañía cibernética de Tel Aviv ClearSky ha atribuido una ola de ataques a un grupo llamado Fox Kitten. Debido a la falta de pruebas, no se sabe qué conexión, si es que hay alguna, pueden tener estas dos campañas.
Esta no es la primera vez que Lab Dookhtegan publica información crucial sobre las actividades cibernéticas dañinas de Irán. En un estilo que refleja a Shadow Brokers, una persona o grupo misterioso ha revelado previamente los secretos de un grupo de piratería iraní conocido como APT34 o OilRig, incluido el lanzamiento del arsenal de herramientas de piratería del enemigo, junto con información sobre 66 organizaciones víctimas y el verdadero mundo. identidad de los agentes de inteligencia del gobierno iraní.
La noticia de la segunda operación de ransomware de Irán también se produce después de que una coalición de empresas gubernamentales y tecnológicas del sector privado, llamada Ransomware Task Force, compartiera un informe de 81 páginas que enumera 48 recomendaciones sobre cómo detectar e interrumpir los ataques de ransomware, además de la ayuda. las organizaciones se están preparando para tales respuestas y respondiendo a ellas de manera más efectiva.
