Operadores estatais com ligação com o Irã estão cada vez mais se voltando para o ransomware como um meio de gerar receita e sabotar intencionalmente seus alvos, ao mesmo tempo que se envolvem em campanhas de engenharia social persistentes e pacientes e ataques agressivos de força bruta.
Nada menos que seis agentes de ameaças afiliados ao país da Ásia Ocidental foram descobertos implantando ransomware para atingir seus objetivos estratégicos, revelaram pesquisadores do Microsoft Threat Intelligence Center (MSTIC), acrescentando que “essas implantações de ransomware foram lançadas em ondas a cada seis a oito semanas em média . ”
Digno de nota é um agente de ameaça rastreado como Phosphorus (também conhecido como Charming Kitten ou APT35), que foi encontrado escaneando endereços IP na Internet em busca de Fortinet FortiOS SSL VPN e servidores Exchange locais para obter acesso inicial e persistência em redes vulneráveis, antes movendo-se para implantar cargas úteis adicionais que permitem aos atores girar para outras máquinas e implantar ransomware.
Outra tática incorporada ao manual é alavancar uma rede de contas fictícias de mídia social, incluindo se passar por mulheres atraentes, para construir confiança com alvos durante vários meses e, por fim, entregar documentos com malware que permitem a exfiltração de dados dos sistemas das vítimas. Tanto Phosphorus quanto um segundo ator de ameaça chamado Curium foram vistos incorporando tais métodos de engenharia social “paciente” para comprometer seus alvos.
“Os invasores constroem um relacionamento com os usuários-alvo ao longo do tempo, tendo comunicações constantes e contínuas, o que lhes permite construir confiança e segurança com o alvo”, disseram os pesquisadores do MSTIC. Em muitos dos casos que observamos, os alvos acreditavam genuinamente que estavam fazendo uma conexão humana e não interagindo com um ator ameaçador operando do Irã. ”
Uma terceira tendência é o uso de ataques de spray de senha para visar locatários do Office 365 visando empresas de tecnologia de defesa dos EUA, E.U. e israelenses, detalhes divulgados pela Microsoft no mês passado, enquanto os atribuíam a um cluster de ameaça emergente DEV-0343.
Além disso, os grupos de hackers também demonstraram a capacidade de se adaptar e mudar de forma dependendo de seus objetivos estratégicos e habilidade, evoluindo para “atores de ameaças mais competentes”, proficientes em interrupções e operações de informação, conduzindo um espectro de ataques, como espionagem cibernética, ataques de phishing e spray de senha, empregando malware móvel, limpadores e ransomware, e até mesmo realizando ataques à cadeia de suprimentos.
As descobertas são especialmente significativas à luz de um novo alerta emitido por agências de segurança cibernética da Austrália, Reino Unido e EUA, alertando sobre uma onda contínua de invasões realizadas por grupos de hackers patrocinados pelo governo iraniano, explorando vulnerabilidades do Microsoft Exchange ProxyShell e Fortinet.
“Esses atores da APT patrocinados pelo governo iraniano podem aproveitar esse acesso para operações subsequentes, como exfiltração ou criptografia de dados, ransomware e extorsão”, disseram as agências em um boletim conjunto publicado na quarta-feira.
Fonte: THN
