Shadow

Des hackers iraniens ciblent Israël avec un ransomware face à un essuie-glace

Un groupe de piratage iranien aurait été remarqué en train de camoufler des attaques vicieuses contre des cibles israéliennes sous la forme d’attaques de ransomware tout en maintenant leur accès au réseau des victimes pendant des mois, ce qui semble être une vaste campagne d’espionnage.

Comme l’ont découvert les chercheurs de SentineLabs, les acteurs de la menace sont suivis sous le nom d’Agrius, qui a fait d’Israël une cible avec décembre 2020.

Le chercheur nommé Amitai Ben Shushan Ehrlich a déclaré: «Initialement engagé dans des activités d’espionnage, Agrius a déployé une série d’attaques destructrices d’essuie-glaces contre des cibles israéliennes, déguisant l’activité d’attaques de ransomwares.»

Initialement, le groupe de piratage a déployé un outil de nettoyage nommé malware, également connu sous le nom de DEADWOOD. Ce malware est conçu pour dévaster les données sur les appareils compromis et était auparavant utilisé contre des cibles saoudiennes en 2019.

Plus tard, le même groupe de hackers (Agrius) est passé à utiliser une nouvelle variante d’essuie-glace surnommée «Apostle». Bien que le logiciel malveillant ait été trouvé cassé dans ses premières variantes, il a progressivement remplacé DEADWOOD et mis à niveau vers une variante de ransomware complète.

Les attaquants ont ensuite utilisé un certain nombre de vecteurs possibles pour attaquer, notamment l’injection SQL, les exploits FortiOS CVE-2018-13379 et d’autres exploits ciblant les vulnérabilités des applications Web sur 1 jour.

Les pirates iraniens ont également développé leur propre nouveau logiciel malveillant .NET personnalisé appelé «Ipsec Helper», conçu pour fournir aux acteurs de la menace des fonctionnalités de porte dérobée de base afin de fournir des logiciels malveillants supplémentaires sur des appareils ou des hôtes compromis.

Apparemment, l’Agrious n’est pas seulement le premier groupe de menace associé à l’Iran qui utilise pour déployer des essuie-glaces contre des cibles du Moyen-Orient.

On pense qu’un autre groupe de piratage basé en Iran, APT33, a été à l’origine d’un certain nombre d’attaques utilisant un essuie-glace Shamoon contre des cibles du Moyen-Orient et d’Europe.

La CISA (Cybersecurity and Infrastructure Security Agency) a également mis en garde en juin 2019 contre une augmentation des cyberattaques basées en Iran utilisant des outils d’essuie-glace contre l’industrie et les agences gouvernementales américaines.