La reciente ola de ataques cibernéticos dirigidos a organizaciones albanesas implicó el uso de un limpiador llamado No hay justicia.
El recomendaciones provienen de la empresa de ciberseguridad ClearSky, que dijo que el malware basado en Windows “bloquea el sistema operativo de manera que no se puede reiniciar”.
Las intrusiones se han atribuido a un “grupo de operaciones psicológicas” iraní conocido como Homeland Justice, que ha estado activo desde julio de 2022, orquestando específicamente ataques destructivos contra Albania.
El 24 de diciembre de 2023, el adversario resurgió después de una pausa, afirmando que “ha vuelto para destruir a los partidarios de los terroristas” y describiendo su última campaña como #DestroyDurresMilitaryCamp. La ciudad albanesa de Durrës actualmente alberga el grupo disidente Organización Muyahidín del Pueblo de Irán (MEK).
Los objetivos del ataque incluyeron ONE Albania, Eagle Mobile Albania, Air Albania y el parlamento albanés.
Dos de las principales herramientas implementadas durante la campaña incluyen un limpiador ejecutable y un script de PowerShell diseñado para propagar el primero a otras máquinas en la red de destino después de habilitar la administración remota de Windows (WinRM).
El Limpiador sin justicia (NACL.exe) es un binario de 220,34 KB que requiere privilegios de administrador para borrar los datos de la computadora.
Esto se logra eliminando la firma de inicio del Registro de inicio maestro (MBR), que se refiere al primer sector de cualquier disco duro que identifica dónde se encuentra el sistema operativo en el disco para que pueda cargarse en la RAM de una computadora.
También se entregaron durante el transcurso del ataque herramientas legítimas como Plink (también conocido como PuTTY Link), RevSocks y el kit de recursos de Windows 2000 para facilitar el reconocimiento, el movimiento lateral y el acceso remoto persistente.
El desarrollo se produce cuando los actores de amenazas pro-iraníes como Ciber Av3ngers, Ciber Toufan, Haghjoyany el equipo de YareGomnam han puesto cada vez más sus miras en Israel y Estados Unidos en medio de continuas tensiones geopolíticas en el Medio Oriente.
“Grupos como Cyber Av3ngers y Cyber Toufan parecen estar adoptando una narrativa de represalia en sus ciberataques”, Check Point revelado el mes pasado.
“Al atacar de manera oportunista a entidades estadounidenses que utilizan tecnología israelí, estos representantes hacktivistas intentan lograr una doble estrategia de represalia: afirmando atacar tanto a Israel como a Estados Unidos en un único ciberataque orquestado”.
Cyber Toufan, en particular, ha sido vinculado a una avalancha de operaciones de piratería y filtración dirigidas a más de 100 organizaciones, limpiando hosts infectados y liberando datos robados en sus canal de telegramas.
“Han causado tanto daño que muchas de las organizaciones (de hecho, casi un tercio) no han podido recuperarse”, afirma el investigador de seguridad Kevin Beaumont. dicho. “Algunos de ellos todavía están completamente fuera de línea más de un mes después, y las víctimas eliminadas son una mezcla de empresas privadas y entidades del gobierno estatal israelí”.
El mes pasado, la Dirección Nacional Cibernética de Israel (RICD) dicho Actualmente está rastreando aproximadamente 15 grupos de piratas informáticos asociados con Irán, Hamás y Hezbolá que operan maliciosamente en el ciberespacio israelí desde el inicio de la guerra entre Israel y Hamás en octubre de 2023.
La agencia señaló además que las técnicas y tácticas empleadas comparten similitudes con las utilizadas en la guerra entre Ucrania y Rusia, aprovechando la guerra psicológica y el malware de limpieza para destruir información confidencial.