Un grupo de ransomware con una conexión operativa iraní ha sido vinculado a una serie de ataques de malware de cifrado de archivos dirigidos a organizaciones en Israel, EE. UU., Europa y Australia.
La firma de seguridad cibernética Secureworks atribuyó las intrusiones a un actor de amenazas que rastrea bajo el nombre de Cobalt Mirage, que dijo que está vinculado a un equipo de piratería iraní denominado Cobalt Illusion (también conocido como APT35, Charming Kitten, Newscaster o Phosphorus).
“Los elementos de la actividad de Cobalt Mirage han sido reportado como Phosphorus y TunnelVision”, Unidad de Contraamenazas (CTU) de Secureworks dicho en un informe compartido con The Hacker News.
Se dice que el actor de amenazas realizó dos conjuntos diferentes de intrusiones, una de las cuales se relaciona con ataques de ransomware oportunistas que involucran el uso de herramientas legítimas como BitLocker y DiskCryptor para obtener ganancias financieras.
El segundo conjunto de ataques está más dirigido y se lleva a cabo con el objetivo principal de asegurar el acceso y recopilar inteligencia, al mismo tiempo que implementa ransomware en casos seleccionados.
Las rutas de acceso inicial se facilitan mediante el escaneo de servidores orientados a Internet vulnerables a fallas muy publicitadas en dispositivos Fortinet y servidores Microsoft Exchange para eliminar shells web y usarlos como un conducto para moverse lateralmente y activar el ransomware.
Sin embargo, se desconoce el medio exacto por el cual se activa la función de cifrado de volumen completo, dijo Secureworks, detallando un ataque de enero de 2022 contra una organización filantrópica estadounidense no identificada.
Se cree que otra intrusión dirigida a una red del gobierno local de EE. UU. a mediados de marzo de 2022 aprovechó las fallas de Log4Shell en la infraestructura VMware Horizon del objetivo para realizar operaciones de reconocimiento y escaneo de red.
“Los incidentes de enero y marzo tipifican los diferentes estilos de ataques realizados por Cobalt Mirage”, concluyeron los investigadores.
“Si bien los actores de amenazas parecen haber tenido un nivel razonable de éxito al obtener acceso inicial a una amplia gama de objetivos, su capacidad para capitalizar ese acceso para obtener ganancias financieras o recopilar inteligencia parece limitada”.