Shadow

Gli hacker iraniani prendono di mira Israele con il ransomware Wiper Faced

Secondo quanto riferito, un gruppo di hacker iraniano è stato notato camuffare attacchi feroci su obiettivi israeliani come attacchi ransomware mantenendo il loro accesso sulla rete delle vittime per mesi, che sembra essere come una vasta campagna di spionaggio.

Come scoperto dai ricercatori di SentineLabs, gli attori della minaccia sono rintracciati come Agrius, che ha reso Israele come obiettivo con dicembre 2020.

Il ricercatore di nome Amitai Ben Shushan Ehrlich ha dichiarato: “Inizialmente impegnata in attività di spionaggio, Agrius ha dispiegato una serie di attacchi distruttivi con tergicristalli contro obiettivi israeliani, mascherando l’attività come attacchi ransomware”.

Inizialmente, il gruppo di hacker ha distribuito un wiper chiamato malware, noto anche come DEADWOOD. Questo malware è progettato per devastare i dati sui dispositivi compromessi ed è stato utilizzato in precedenza contro obiettivi dell’Arabia Saudita nel 2019.

Successivamente, lo stesso gruppo di hacker (Agrius) è passato a utilizzare una nuova variante del tergicristallo denominata “Apostle”. Sebbene il malware sia stato trovato danneggiato nelle sue prime varianti, ha gradualmente sostituito DEADWOOD e aggiornato in una variante ransomware completa.

Gli aggressori hanno successivamente utilizzato una serie di possibili vettori per attaccare, tra cui SQL injection, exploit FortiOS CVE-2018-13379 e altri exploit mirati alle vulnerabilità delle app web di 1 giorno.

Gli hacker iraniani hanno anche sviluppato il loro nuovo malware .NET personalizzato denominato “Ipsec Helper”, progettato per fornire agli attori delle minacce funzionalità backdoor di base per fornire malware aggiuntivo su dispositivi o host compromessi.

Secondo quanto riferito, l’Agrious non è solo il primo gruppo di minacce associato all’Iran che usa il tergicristallo contro obiettivi mediorientali.

Si ritiene che un altro gruppo di hacker con sede in Iran chiamato APT33 sia stato dietro una serie di attacchi che hanno utilizzato il tergicristallo Shamoon contro obiettivi dal Medio Oriente e dall’Europa.

Anche la CISA (Cybersecurity and Infrastructure Security Agency) ha avvertito nel giugno 2019 di un aumento degli attacchi informatici iraniani che utilizzano strumenti di pulizia contro l’industria e le agenzie governative statunitensi.