Hackers iraníes encontraron borrando datos de objetivos israelíes con una nueva cepa

Los investigadores de SentinelOne descubrieron el desarrollo de un grupo de hackers iraníes, Agrius, que está atacando objetivos israelíes en una amplia campaña de espionaje. Como se define, el actor de amenazas está utilizando una combinación de herramientas personalizadas y las disponibles públicamente para atacar a sus objetivos, inicialmente explotando las últimas vulnerabilidades en sus redes. Luego, implementan un limpiaparabrisas disfrazado de ransomware llamado Apostle, para borrar los datos del objetivo.

Hackers iraníes borran datos de objetivos de Israel

Los grupos de piratas informáticos patrocinados por el estado o los llamados APT a menudo se dirigen a otros por inteligencia en lugar de dinero. Pero, algunos grupos atacan con un motivo que simplemente perturba las operaciones del objetivo y degrada la fama pública. Uno de esos grupos es Agrius, una APT iraní que generalmente se dirige a instituciones con malware ransomware.

Flujo de ataque de Agrius

Pero ahora han evolucionado a un nivel completamente nuevo. según SentinelOne, quien descubrió los últimos ataques de Agrius contra objetivos de Israel. Como describieron, el grupo de amenazas comienza a atacar las vulnerabilidades comunes que se encuentran en los dispositivos de la red del objetivo, para obtener acceso inicial. Algunos de ellos incluyen FortiOS CVE-2018-13379, inyección SQL, cualquier vulnerabilidad de aplicación web de 1 día.

Una vez dentro, implementan un malware .NET hecho a medida llamado 'IPsec Helper' para obtener acceso por la puerta trasera a la máquina de la víctima e implementar malware adicional para futuras explotaciones. Esto incluye la implementación de un malware de limpiaparabrisas llamado Apostle, que se disfraza de ransomware cuando está infectado.

Agrius fue visto inicialmente usando un limpiaparabrisas llamado COSA VIEJA (o Detbosit) y destruyó datos de varios objetivos de Arabia Saudita en 2019. Ahora, como una cepa evolucionada, los atacantes están estafando a las víctimas como ransomware y piden un rescate por descifrar sus sistemas.

Pero en segundo plano, ya han borrado los datos con su limpiador Apostle. Sobre este enfoque típico, los investigadores de SentinelOne dijeron: "Creemos que la implementación de la funcionalidad de cifrado está ahí para enmascarar su intención real: destruir los datos de las víctimas.. "

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir

En boligrafointeligente.com utilizamos cookies. Más información

Previous Next
Close
Test Caption
Test Description goes like this