Shadow

Hackers iraníes apuntan a Israel con ransomware Wiper Faced

Según se informa, se ha observado que un grupo de piratas informáticos iraní camufla ataques viciosos sobre objetivos israelíes como ataques de ransomware mientras mantiene su acceso a la red de las víctimas durante meses, lo que parece ser una campaña de espionaje extensa.

Según lo hallado por los investigadores de SentineLabs, los actores de amenazas se rastrean como Agrius, que ha convertido a Israel en el objetivo en diciembre de 2020.

El investigador llamado Amitai Ben Shushan Ehrlich ha dicho: «Inicialmente involucrado en actividades de espionaje, Agrius desplegó una serie de ataques destructivos de limpiaparabrisas contra objetivos israelíes, disfrazados de la actividad como ataques de ransomware».

Inicialmente, el grupo de piratería implementó un limpiador llamado malware, que también se conoce como DEADWOOD. Este malware está diseñado para devastar datos en dispositivos comprometidos y se usó anteriormente contra objetivos de Arabia Saudita en 2019.

Más tarde, el mismo grupo de piratas informáticos (Agrius) pasó a utilizar una nueva variante de limpiaparabrisas denominada «Apóstol». Aunque se descubrió que el malware estaba roto en sus primeras variantes, gradualmente reemplazó a DEADWOOD y se actualizó a una variante de ransomware con todas las funciones.

Posteriormente, los atacantes utilizaron una serie de posibles vectores para atacar, incluida la inyección de SQL, las vulnerabilidades de FortiOS CVE-2018-13379 y más otras vulnerabilidades dirigidas a vulnerabilidades de aplicaciones web de 1 día.

Los piratas informáticos iraníes también han desarrollado su propio nuevo malware .NET personalizado que se denomina «Ipsec Helper», que está diseñado para proporcionar al actor de amenazas funcionalidades básicas de puerta trasera para entregar malware adicional en dispositivos o hosts comprometidos.

Según se informa, Agrious no es solo el primer grupo de amenazas asociado con Irán que usa para desplegar limpiaparabrisas contra objetivos de Medio Oriente.

Se cree que otro grupo de piratería con sede en Irán llamado APT33 ha estado detrás de una serie de ataques que utilizaron el limpiaparabrisas Shamoon contra objetivos de Oriente Medio y Europa.

La CISA (Agencia de Seguridad de Infraestructura y Ciberseguridad) también advirtió en junio de 2019 sobre un aumento en los ataques cibernéticos con base en Irán que utilizan herramientas de limpieza contra la industria y las agencias gubernamentales de EE. UU.