Inne i en løsepengevaregjeng: Pass på disse aggressive taktikkene Se nå
Microsoft har detaljert aktivitetene til seks iranske hackergrupper som står bak bølger av løsepengevareangrep som har kommet hver sjette til åtte uke siden september 2020.
Russland blir ofte sett på som hjemmet til de største cyberkriminelle løsepenge-truslene, men statsstøttede angripere fra Nord-Korea og Iran har også vist en økende interesse for løsepengevare.
Microsoft sa at iranske hackergrupper bruker løsepengeprogramvare for enten å samle inn penger eller forstyrre målene deres, og at de er “tålmodige og utholdende” mens de engasjerer seg med målene deres – selv om de vil bruke aggressive brute-force-angrep.
SE: En vinnende strategi for cybersikkerhet(ZDNet spesialrapport)
Den mest konsistente av de seks iranske trusselgruppene er en Microsoft sporer som fosfor (andre kaller det APT35). Microsoft har lekt katt og mus med gruppen de siste to årene. Selv om Microsoft opprinnelig var kjent for cyberspionasje, beskriver Microsoft gruppens strategier for å distribuere løsepengevare på målrettede nettverk, ofte ved å bruke Microsofts Windows-diskkrypteringsverktøy BitLocker for å kryptere offerfiler.
Andre cybersikkerhetsfirmaer oppdaget i fjor en økning i løsepengevare fra iranske statsstøttede hackere som brukte kjente Microsoft Exchange-sårbarheter for å installere vedvarende nettskall på e-postservere og Thanos løsepengeprogramvare.
Ifølge Microsoft målrettet Phosphorus også upatchede lokale Exchange-servere og Fortinets FortiOS SSL VPN for å distribuere løsepengeprogramvare.
I andre halvdel av 2021 begynte gruppen å skanne for de fire Exchange-feilene kjent som ProxyShell som opprinnelig ble utnyttet som null dager av Beijing-støttede hackere.
Microsoft ga ut oppdateringer for CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 og CVE-2021-27065 i april. ProxyLogon var en av flere utnyttelser som utgjorde ProxyShell.
En konto fra sikkerhetsspesialist DFIR Rapportnotater Fosfor brukte BitLocker på servere og DiskCryptor på PC-er. Aktiviteten deres skilte seg ut fordi den ikke var avhengig av løsepengevare-som-en-tjeneste-tilbud som er populære blant nettkriminelle og ikke opprettet tilpassede krypteringer.
“Etter å ha kompromittert den opprinnelige serveren (gjennom sårbar VPN eller Exchange Server), flyttet aktørene sideveis til et annet system på offernettverket for å få tilgang til ressurser med høyere verdi,” noterer Microsoft Threat Intelligence Center (MSTIC) i et blogginnlegg.
“Derfra distribuerte de et skript for å kryptere stasjonene på flere systemer. Ofrene ble bedt om å kontakte en bestemt Telegram-side for å betale for dekrypteringsnøkkelen.”
Gruppen prøver også å stjele legitimasjon ved å sende “intervjuforespørsler” til målrettede personer via e-poster som inneholder sporingslenker for å bekrefte om brukeren har åpnet filen. Når et svar er mottatt fra målbrukeren, sender angriperne en lenke til en liste med intervjuspørsmål og deretter en lenke til et falskt Google-møte, som ville stjele påloggingsdetaljer.
SE: < /strong>Ransomware: Det er en “gylden æra” for nettkriminelle – og det kan bli verre før det blir bedre
Andre grupper som er nevnt i Microsofts rapport inkluderer en fremvoksende iransk hackergruppe som nylig målrettet Israel og amerikanske organisasjoner i Persiabukta med passordsprayingangrep.
Microsoft fremhever at innføringen av løsepengevare hjalp de iranske hackernes innsats for spionasje, forstyrrelser og ødeleggelser, og for å støtte fysiske operasjoner. Deres arsenal av angrep inkluderte løsepengevare, diskviskere, mobil malware, phishing, passordsprayangrep, masseutnyttelse av sårbarheter og forsyningskjedeangrep.
Sikkerhet
Windows 10 er en sikkerhetskatastrofe som venter på å skje. Hvordan vil Microsoft rydde opp i rotet? Denne skadevaren kan true millioner av rutere og IoT-enheter Costco-kunder klager over uredelige avgifter, selskapet bekrefter kortskimmingangrep Exchange Server-feil: Oppdater umiddelbart, advarer Microsoft Gjennomsnittlig løsepengevarebetaling for amerikanske ofre mer enn $6 millioner Microsoft Patch tirsdag: 55 feil klemt, to under aktiv utnyttelse Security TV | Databehandling | CXO | Datasentre