Las agencias de inteligencia y ciberseguridad de Estados Unidos han denunciado a un grupo de piratas inform\u00e1ticos iran\u00ed por violar m\u00faltiples organizaciones en todo el pa\u00eds y coordinarse con afiliados para distribuir ransomware.<\/p>\n
La actividad ha sido vinculada a un actor de amenazas denominado Pioneer Kitten, tambi\u00e9n conocido como Fox Kitten, Lemon Sandstorm (anteriormente Rubidium), Parisite y UNC757, al que describi\u00f3 como conectado al gobierno de Ir\u00e1n y que utiliza una empresa iran\u00ed de tecnolog\u00eda de la informaci\u00f3n (TI), Danesh Novin Sahand, probablemente como tapadera.<\/p>\n
“Sus operaciones cibern\u00e9ticas maliciosas tienen como objetivo implementar ataques de ransomware para obtener y desarrollar acceso a la red”, dijeron la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), la Oficina Federal de Investigaciones (FBI) y el Centro de Delitos Cibern\u00e9ticos del Departamento de Defensa (DC3). dicho<\/a>“Estas operaciones ayudan a los actores cibern\u00e9ticos maliciosos a seguir colaborando con actores afiliados para continuar implementando ransomware”.<\/p>\n Los objetivos de los ataques incluyen sectores de educaci\u00f3n, finanzas, atenci\u00f3n m\u00e9dica y defensa, as\u00ed como entidades gubernamentales locales en los EE. UU., y tambi\u00e9n se reportan intrusiones en Israel, Azerbaiy\u00e1n y los Emiratos \u00c1rabes Unidos (EAU) para robar datos confidenciales.<\/p>\n El objetivo, evaluaron las agencias, es ganar un punto de apoyo inicial en las redes de v\u00edctimas y posteriormente colaborar con actores afiliados de ransomware asociados con NoEscape, RansomHouse y BlackCat (tambi\u00e9n conocido como ALPHV) para implementar malware de cifrado de archivos a cambio de una parte de las ganancias il\u00edcitas, mientras se mantiene su nacionalidad y origen “intencionadamente vagos”.<\/p>\n Se cree que los intentos de ataque comenzaron en 2017 y contin\u00faan hasta este mes. Se ha descubierto que los actores de la amenaza, que tambi\u00e9n utilizan los apodos en l\u00ednea Br0k3r y xplfinder, monetizan su acceso a las organizaciones v\u00edctimas en mercados clandestinos, lo que pone de relieve los intentos de diversificar sus fuentes de ingresos.<\/p>\n “Un porcentaje significativo de la actividad cibern\u00e9tica del grupo, centrada en Estados Unidos, tiene como objetivo obtener y mantener acceso t\u00e9cnico a las redes de las v\u00edctimas para permitir futuros ataques de ransomware”, se\u00f1alaron las agencias. “Los actores ofrecen privilegios de control de dominio completo, as\u00ed como credenciales de administrador de dominio, a numerosas redes en todo el mundo”.<\/p>\n “La participaci\u00f3n de los actores cibern\u00e9ticos iran\u00edes en estos ataques de ransomware va m\u00e1s all\u00e1 de brindar acceso; trabajan en estrecha colaboraci\u00f3n con afiliados de ransomware para bloquear las redes de las v\u00edctimas y desarrollar estrategias para extorsionar a las v\u00edctimas”.<\/p>\n El acceso inicial se logra aprovechando servicios externos remotos en activos conectados a Internet que son vulnerables a fallas previamente reveladas (CVE-2019-19781, CVE-2022-1388, CVE-2023-3519, CVE-2024-3400 y CVE-2024-24919), seguido de una serie de pasos para persistir, escalar privilegios y configurar el acceso remoto a trav\u00e9s de herramientas como AnyDesk o la herramienta de tunelizaci\u00f3n de c\u00f3digo abierto Ligolo. <\/p>\n Las operaciones de ransomware patrocinadas por el Estado iran\u00ed no son un fen\u00f3meno nuevo. En diciembre de 2020, las empresas de ciberseguridad Punto de control<\/a> y Cielo despejado<\/a> detall\u00f3 una campa\u00f1a de pirater\u00eda y filtraci\u00f3n de Pioneer Kitten llamada Pay2Key que espec\u00edficamente atac\u00f3 a docenas de empresas israel\u00edes explotando vulnerabilidades de seguridad conocidas.<\/p>\n “El rescate en s\u00ed oscilaba entre siete y nueve bitcoins (en algunos casos se negoci\u00f3 con el atacante hasta tres bitcoins)”, se\u00f1al\u00f3 la empresa en ese momento. “Para presionar a las v\u00edctimas a pagar, el sitio de filtraciones de Pay2Key muestra informaci\u00f3n confidencial robada a las organizaciones objetivo y amenaza con m\u00e1s filtraciones si las v\u00edctimas contin\u00faan retrasando los pagos”.<\/p>\n Tambi\u00e9n se dice que algunos de los ataques de ransomware se llevaron a cabo a trav\u00e9s de una empresa contratista iran\u00ed llamada Emennet Pasargad, seg\u00fan documentos filtrados por Lab Dookhtegan a principios de 2021.<\/p>\n La revelaci\u00f3n describe la imagen de un grupo flexible que opera con motivos tanto de ransomware como de espionaje cibern\u00e9tico, uni\u00e9ndose a otros grupos de pirater\u00eda de doble prop\u00f3sito como ChamelGang y Moonstone Sleet.<\/p>\n El desarrollo se produce luego de que Microsoft dijo que observ\u00f3 al actor de amenazas patrocinado por el estado iran\u00ed Peach Sandstorm (tambi\u00e9n conocido como APT33, Curious Serpens, Elfin y Refined Kitten) implementando una nueva puerta trasera personalizada de m\u00faltiples etapas conocida como Tickler en ataques contra objetivos en los sectores de sat\u00e9lites, equipos de comunicaciones, petr\u00f3leo y gas, as\u00ed como del gobierno federal y estatal en los EE. UU. y los Emiratos \u00c1rabes Unidos entre abril y julio de 2024.<\/p>\n “Peach Sandstorm tambi\u00e9n continu\u00f3 realizando ataques de rociado de contrase\u00f1as contra el sector educativo para la adquisici\u00f3n de infraestructura y contra los sectores satelitales, gubernamentales y de defensa como objetivos principales para la recopilaci\u00f3n de inteligencia”, dijo el gigante tecnol\u00f3gico. dicho<\/a>y agreg\u00f3 que detect\u00f3 recopilaci\u00f3n de inteligencia y posible ingenier\u00eda social dirigida a los sectores de educaci\u00f3n superior, sat\u00e9lites y defensa a trav\u00e9s de LinkedIn.<\/p>\n Estos esfuerzos en la plataforma de redes profesionales, que se remontan al menos a noviembre de 2021 y han continuado hasta mediados de 2024, se materializaron en forma de perfiles falsos que se hac\u00edan pasar por estudiantes, desarrolladores y gerentes de adquisici\u00f3n de talentos supuestamente radicados en Estados Unidos y Europa Occidental.<\/p>\n Los ataques de pulverizaci\u00f3n de contrase\u00f1as sirven como conducto para la puerta trasera multietapa personalizada Tickler, que viene con capacidades para descargar cargas \u00fatiles adicionales desde una infraestructura de Microsoft Azure controlada por el adversario, realizar operaciones de archivos y recopilar informaci\u00f3n del sistema.<\/p>\n Algunos de los ataques se destacan por aprovechar las instant\u00e1neas de Active Directory (AD) para acciones administrativas maliciosas, Server Message Block (SMB) para movimiento lateral y el software de administraci\u00f3n y monitoreo remoto (RMM) AnyDesk para acceso remoto persistente.<\/p>\n “La conveniencia y utilidad de una herramienta como AnyDesk se ve amplificada por el hecho de que puede ser permitida por controles de aplicaciones en entornos donde es utilizada leg\u00edtimamente por personal de soporte de TI o administradores de sistemas”, afirm\u00f3 Microsoft.<\/p>\n Se estima que Peach Sandstorm opera en nombre del Cuerpo de la Guardia Revolucionaria Isl\u00e1mica de Ir\u00e1n (CGRI). Se sabe que lleva m\u00e1s de una d\u00e9cada activo y que lleva a cabo ataques de espionaje contra una amplia gama de objetivos del sector p\u00fablico y privado en todo el mundo. En recientes intrusiones dirigidas al sector de defensa tambi\u00e9n se ha implementado otra puerta trasera llamada FalseFont.<\/p>\n En lo que evidencia la constante expansi\u00f3n de las operaciones iran\u00edes en el ciberespacio, Mandiant, propiedad de Google, dijo que descubri\u00f3 una presunta operaci\u00f3n de contrainteligencia con nexo con Ir\u00e1n que tiene como objetivo recopilar datos sobre iran\u00edes y amenazas dom\u00e9sticas que pueden estar colaborando con sus supuestos adversarios, incluido Israel.<\/p>\n “Los datos recopilados pueden utilizarse para descubrir operaciones de inteligencia humana (HUMINT) realizadas contra Ir\u00e1n y para perseguir a cualquier iran\u00ed sospechoso de estar involucrado en estas operaciones”, afirman los investigadores de Mandiant Ofir Rozmann, Asli Koksal y Sarah Bock. dicho<\/a>“Entre ellos pueden incluirse disidentes iran\u00edes, activistas, defensores de los derechos humanos y hablantes de farsi que viven dentro y fuera de Ir\u00e1n”.<\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/Agencias-estadounidenses-advierten-sobre-continuos-ataques-de-ransomware-por-parte.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\nPeach Sandstorm distribuye malware Tickler en una campa\u00f1a de larga duraci\u00f3n<\/h2>\n
<\/a><\/div>\n<\/a><\/center><\/section>\nOperaci\u00f3n de contrainteligencia iran\u00ed utiliza se\u00f1uelos de recursos humanos para recolectar informaci\u00f3n<\/h2>\n