Microsoft har beskrivit aktiviteterna för sex iranska hackergrupper som ligger bakom vågor av ransomware-attacker som har kommit var sjätte till var åttonde vecka sedan september 2020.
Ryssland ses ofta som hemmet för de största cyberkriminella ransomware-hoten, men statligt sponsrade angripare från Nordkorea och Iran har också visat ett växande intresse för ransomware.
Microsoft sa att iranska hackningsgrupper använder ransomware för att antingen samla in pengar eller störa sina mål, och är “tålamodiga och ihärdiga” medan de engagerar sig med sina mål – även om de kommer att använda aggressiva brute-force-attacker.
SE: En vinnande strategi för cybersäkerhet(ZDNet specialrapport)
Den mest konsekventa av de sex iranska hotgrupperna är en Microsoft spårar som fosfor (andra kallar det APT35). Microsoft har lekt katt och råtta med gruppen de senaste två åren. Även om Microsoft ursprungligen var känt för cyberspionage, beskriver Microsoft gruppens strategier för att distribuera ransomware på riktade nätverk, ofta med hjälp av Microsofts Windows-diskkrypteringsverktyg BitLocker för att kryptera offerfiler.
Andra cybersäkerhetsföretag upptäckte förra året en ökning av ransomware från iranska statsstödda hackare som använder kända Microsoft Exchange-sårbarheter för att installera beständiga webbskal på e-postservrar och Thanos ransomware.
Enligt Microsoft inriktade sig Phosphorus också på oparpade lokala Exchange-servrar och Fortinets FortiOS SSL VPN för att distribuera ransomware.
Under andra halvan av 2021 började gruppen skanna för de fyra Exchange-brister som kallas ProxyShell och som ursprungligen utnyttjades som noll dagar av hackare med stöd av Peking.
Microsoft släppte patchar för CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 och CVE-2021-27065 i april. ProxyLogon var en av flera bedrifter som utgjorde ProxyShell.
Ett konto av säkerhetsspecialisten DFIR Rapportnoteringar Fosfor använde BitLocker på servrar och DiskCryptor på datorer. Deras aktivitet stack ut eftersom den inte förlitade sig på erbjudanden som ransomware-as-a-service som är populära bland cyberbrottslingar och inte skapade anpassade krypteringar.
“Efter att ha kompromissat med den ursprungliga servern (genom sårbar VPN eller Exchange Server), flyttade aktörerna i sidled till ett annat system på offrets nätverk för att få tillgång till resurser med högre värde”, noterar Microsoft Threat Intelligence Center (MSTIC) i ett blogginlägg.
“Därifrån distribuerade de ett skript för att kryptera enheterna på flera system. Offren instruerades att kontakta en specifik Telegram-sida för att betala för dekrypteringsnyckeln.”
Gruppen försöker också stjäla referenser genom att skicka “intervjuförfrågningar” till riktade individer via e-postmeddelanden som innehåller spårningslänkar för att bekräfta om användaren har öppnat filen. När ett svar har tagits emot från målanvändaren skickar angriparna en länk till en lista med intervjufrågor och sedan en länk till ett falskt Google Meeting, som skulle stjäla inloggningsuppgifter.
SE: < /strong>Ransomware: Det är en “gyllene era” för cyberbrottslingar – och det kan bli värre innan det blir bättre
Andra grupper som nämns i Microsofts rapport inkluderar en framväxande iransk hackergrupp som nyligen riktade sig mot Israel och amerikanska organisationer i Persiska viken med lösenordssprejande attacker.
Microsoft framhåller att antagandet av ransomware hjälpte de iranska hackarnas ansträngningar för spionage, störningar och förstörelse, och för att stödja fysiska operationer. Deras arsenal av attacker inkluderade ransomware, disktorkare, mobil skadlig kod, nätfiske, lösenordssprayattacker, massutnyttjande av sårbarheter och attacker i leveranskedjan.
Säkerhet
Windows 10 är en säkerhetskatastrof som väntar på att hända. Hur kommer Microsoft att städa upp sin röra? Denna skadliga programvara kan hota miljontals routrar och IoT-enheter Costco-kunder klagar över bedrägliga avgifter, företaget bekräftar kortskumningsattack Exchange Server-bugg: Patch omedelbart, varnar Microsoft Genomsnittlig ransomware-betalning för amerikanska offer för mer än 6 miljoner dollar Microsoft Patch tisdag: 55 buggar klämda, två under aktiv exploatering Security TV | Datahantering | CXO | Datacenter