El actor de amenazas iraní conocido como agrio está aprovechando una nueva cepa de ransomware llamada Moneybird en sus ataques contra organizaciones israelíes.
Agrius, también conocido como Pink Sandstorm (anteriormente Americium), tiene un historial de organizar ataques destructivos de borrado de datos dirigidos a Israel bajo la apariencia de infecciones de ransomware.
Microsoft ha atribuido al actor de amenazas al Ministerio de Inteligencia y Seguridad de Irán (MOIS), que también opera MuddyWater. Se sabe que está activo desde al menos diciembre de 2020.
En diciembre de 2022, se atribuyó al equipo de piratería a un conjunto de intentos de intrusión disruptiva dirigidos contra las industrias de diamantes en Sudáfrica, Israel y Hong Kong.
Estos ataques involucraron el uso de un limpiador convertido en ransomware basado en .NET llamado Apóstol y su sucesor conocido como Fantasy. A diferencia de Apostle, Moneybird está programado en C++.
«El uso de un nuevo ransomware, escrito en C++, es digno de mención, ya que demuestra las capacidades en expansión del grupo y el esfuerzo continuo en el desarrollo de nuevas herramientas», dijeron los investigadores de Check Point, Marc Salinas Fernandez y Jiri Vinopal. dicho.
La secuencia de infección comienza con la explotación de vulnerabilidades dentro de los servidores web expuestos a Internet, lo que lleva a la implementación de un shell web denominado ASPXSpy.
En los pasos posteriores, el shell web se utiliza como conducto para entregar herramientas conocidas públicamente para realizar un reconocimiento del entorno de la víctima, moverse lateralmente, recopilar credenciales y filtrar datos.
También se ejecuta en el host comprometido el ransomware Moneybird, que está diseñado para cifrar archivos confidenciales en la carpeta «F:User Shares» y enviar una nota de rescate instando a la empresa a contactarlos dentro de las 24 horas o arriesgarse a que se filtre la información robada.
«El uso de un nuevo ransomware demuestra los esfuerzos adicionales del actor para mejorar las capacidades, así como fortalecer los esfuerzos de atribución y detección», dijeron los investigadores. «A pesar de estas nuevas ‘cubiertas’, el grupo continúa con su comportamiento habitual y utiliza herramientas y técnicas similares a las anteriores».
Zero Trust + Deception: ¡Aprende a ser más astuto que los atacantes!
Descubra cómo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust. ¡Únase a nuestro seminario web perspicaz!
Agrius está lejos de ser el único grupo patrocinado por el estado iraní que participa en operaciones cibernéticas contra Israel. Un informe de Microsoft el mes pasado descubrió la colaboración de MuddyWater con otro grupo denominado Storm-1084 (también conocido como DEV-1084) para implementar el ransomware DarkBit.
Los hallazgos también se producen cuando ClearSky reveló que no menos de ocho sitios web asociados con empresas de transporte, logística y servicios financieros en Israel se vieron comprometidos como parte de un ataque de pozo de agua orquestado por el grupo Tortoiseshell vinculado a Irán.
En un desarrollo relacionado, Proofpoint reveló que los proveedores regionales de servicios administrados (MSP) dentro de Israel han sido atacados por MuddyWater como parte de una campaña de phishing diseñada para iniciar ataques en la cadena de suministro contra sus clientes intermedios.
La firma de seguridad empresarial destacó además las crecientes amenazas a las pequeñas y medianas empresas (PYMES) de grupos de amenazas sofisticados, que se han observado aprovechando la infraestructura de las PYMES comprometida para campañas de phishing y robo financiero.