Los operadores de Irán, vinculado a la nación, recurren cada vez más al ransomware como un medio para generar ingresos y sabotear deliberadamente sus objetivos, mientras participan en campañas de ingeniería social pacientes y persistentes y ataques agresivos de fuerza bruta.
Los investigadores del Microsoft Threat Intelligence Center (MSTIC) han identificado no menos de seis actores de países de Asia occidental que implementan ransomware para lograr sus objetivos estratégicos, y agregaron que «estas implementaciones de ransomware se lanzaron en oleadas en promedio cada seis u ocho semanas». . «
Es de destacar un actor de amenazas rastreado como Phosphorus (también conocido como Charming Kitten o APT35) que escanea direcciones IP en Internet en busca de VPN Fortinet FortiOS SSL sin reparar y servidores Exchange locales para obtener acceso inicial y persistencia en redes vulnerables. muévase para implementar cargas útiles adicionales que permitan a los actores cambiar a otras máquinas e implementar ransomware.
Otra táctica incluida en el manual es utilizar una red de cuentas de redes sociales ficticias, que incluyen actuar como mujeres atractivas, para generar confianza en los objetivos en unos pocos meses y, en última instancia, entregar documentos de malware que permitan filtrar los datos de los sistemas de las víctimas. Tanto Phosphorus como el segundo actor de amenazas, Curium, han sido vistos incorporando métodos tan «pacientes» de ingeniería social para comprometer sus objetivos.
«Con el tiempo, los atacantes construyen una relación con los usuarios objetivo a través de una comunicación constante e ininterrumpida que les permite generar confianza en el objetivo», dijeron los investigadores de MSTIC. En muchos de los casos que hemos visto, los objetivos realmente han creído que están estableciendo conexiones humanas y no interactuando con el actor de amenazas que opera en Irán».
La tercera tendencia es utilizar ataques de rociado de contraseñas para apuntar a inquilinos de Office 365 dirigidos a empresas de tecnología de defensa de EE. UU., Europa e Israel, cuyos detalles Microsoft publicó el mes pasado y atribuyó al grupo de amenazas emergente DEV-0343.
Además, los grupos de piratas informáticos también han demostrado la capacidad de adaptarse y cambiar de forma de acuerdo con sus objetivos y oficios estratégicos, evolucionando hacia «actores de amenazas más competentes» capaces de intrusiones y operaciones de información mediante la realización de una serie de ataques como ciberespionaje, ataques de phishing. y rociado de contraseñas, usando malware móvil, borradores y ransomware e incluso llevando a cabo ataques a la cadena de suministro.
Los hallazgos son particularmente significativos a la luz de una nueva advertencia de las agencias de seguridad cibernética en Australia, el Reino Unido y los Estados Unidos, que advierte sobre una ola continua de incursiones de grupos de piratería respaldados por el gobierno iraní que explotan las vulnerabilidades de Microsoft Exchange ProxyShell y Fortinet.
“Estos actores de APT patrocinados por el gobierno iraní pueden usar este enfoque para operaciones de seguimiento como filtrado o encriptación de datos, ransomware y extorsión”, dijeron las agencias en un boletín conjunto publicado el miércoles.
