Shadow

Iranische Hacker zielen mit Wischer-Ransomware auf Israel ab

Berichten zufolge wurde eine iranische Hacking-Gruppe bemerkt, die bösartige Angriffe auf israelische Ziele als Ransomware-Angriffe tarnte, während sie monatelang ihren Zugang über das Netzwerk der Opfer aufrechterhielt. Dies scheint eine umfangreiche Spionagekampagne zu sein.

Wie von SentineLabs-Forschern festgestellt, werden die Bedrohungsakteure als Agrius verfolgt, was Israel zum Ziel für Dezember 2020 gemacht hat.

Der Forscher namens Amitai Ben Shushan Ehrlich sagte: „Agrius war ursprünglich mit Spionageaktivitäten beschäftigt und setzte eine Reihe zerstörerischer Wischerangriffe gegen israelische Ziele ein, die sich als Ransomware-Angriffe tarnten.“

Zunächst hat die Hacking-Gruppe einen Wiper namens Malware bereitgestellt, der auch als DEADWOOD bezeichnet wird. Diese Malware wurde entwickelt, um Daten auf kompromittierten Geräten zu zerstören. Sie wurde bereits 2019 gegen saudi-arabische Ziele eingesetzt.

Später verwendete dieselbe Hacking-Gruppe (Agrius) eine neue Wischervariante, die als „Apostel“ bezeichnet wurde. Obwohl festgestellt wurde, dass Malware in den ersten Varianten defekt war, ersetzte sie DEADWOOD nach und nach und rüstete zu einer voll funktionsfähigen Ransomware-Variante auf.

Die Angreifer verwendeten später eine Reihe möglicher Vektoren, um anzugreifen, darunter SQL-Injection, FortiOS CVE-2018-13379-Exploits und weitere Exploits, die auf 1-Tages-Schwachstellen in Web-Apps abzielen.

Die iranischen Hacker haben auch ihre eigene neue benutzerdefinierte .NET-Malware entwickelt, die als „Ipsec Helper“ bezeichnet wird und Bedrohungsakteuren grundlegende Backdoor-Funktionen bietet, um zusätzliche Malware auf kompromittierten Geräten oder Hosts bereitzustellen.

Berichten zufolge ist die Agrious nicht nur die erste mit dem Iran verbundene Bedrohungsgruppe, die Wischer gegen Ziele im Nahen Osten einsetzt.

Es wird angenommen, dass eine andere iranische Hacking-Gruppe namens APT33 hinter einer Reihe von Angriffen steckt, bei denen Shamoon Wiper gegen Ziele aus dem Nahen Osten und Europa eingesetzt wurde.

Die CISA (Cybersecurity and Infrastructure Security Agency) warnte bereits im Juni 2019 vor einer Zunahme iranischer Cyber-Angriffe mit Wischer-Tools gegen die US-Industrie und Regierungsbehörden.