Microsoft har beskrevet aktiviteterne i seks iranske hackergrupper, der står bag bølger af ransomware-angreb, der er ankommet hver sjette til ottende uge siden september 2020.
Rusland ses ofte som hjemstedet for de største cyberkriminelle ransomware-trusler, men statssponsorerede angribere fra Nordkorea og Iran har også vist en stigende interesse for ransomware.
Microsoft sagde, at iranske hackergrupper bruger ransomware til enten at indsamle penge eller forstyrre deres mål og er “tålmodige og vedholdende”, mens de engagerer sig i deres mål – selvom de vil bruge aggressive brute-force-angreb.
SE: En vindende strategi for cybersikkerhed(ZDNet-særrapport)
Den mest konsistente af de seks iranske trusselsgrupper er én, som Microsoft sporer som fosfor (andre kalder det APT35). Microsoft har leget kat og mus med gruppen i de sidste to år. Selvom Microsoft oprindeligt var kendt for cyberspionage, beskriver Microsoft gruppens strategier for implementering af ransomware på målrettede netværk, ofte ved at bruge Microsofts Windows-diskkrypteringsværktøj BitLocker til at kryptere offerfiler.
Andre cybersikkerhedsfirmaer opdagede sidste år en stigning i ransomware fra iranske statsstøttede hackere, der brugte kendte Microsoft Exchange-sårbarheder til at installere vedvarende web-skaller på e-mail-servere og Thanos ransomware.
Ifølge Microsoft var Phosphorus også rettet mod ikke-patchede lokale Exchange-servere og Fortinets FortiOS SSL VPN for at implementere ransomware.
I anden halvdel af 2021 begyndte gruppen at scanne for de fire Exchange-fejl kendt som ProxyShell, der oprindeligt blev udnyttet som nul dage af Beijing-støttede hackere.
Microsoft udgav patches til CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 og CVE-2021-27065 i april. ProxyLogon var en af flere udnyttelser, der udgjorde ProxyShell.
En konto fra sikkerhedsspecialisten DFIR Rapport bemærker, at fosfor brugte BitLocker på servere og DiskCryptor på pc'er. Deres aktivitet skilte sig ud, fordi den ikke var afhængig af ransomware-as-a-service-tilbud, der er populære blandt cyberkriminelle og ikke skabte tilpassede krypteringer.
“Efter at have kompromitteret den oprindelige server (gennem sårbar VPN eller Exchange Server), flyttede aktørerne sideværts til et andet system på offernetværket for at få adgang til ressourcer af højere værdi,” bemærker Microsoft Threat Intelligence Center (MSTIC) i et blogindlæg.
“Derfra implementerede de et script til at kryptere drevene på flere systemer. Ofrene blev bedt om at kontakte en bestemt Telegram-side for at betale for dekrypteringsnøglen.”
Gruppen forsøger også at stjæle legitimationsoplysninger ved at sende “interviewanmodninger” til målrettede personer via e-mails, der indeholder sporingslinks for at bekræfte, om brugeren har åbnet filen. Når der er modtaget et svar fra målbrugeren, sender angriberne et link til en liste med interviewspørgsmål og derefter et link til et falsk Google Meeting, som ville stjæle loginoplysninger.
SE: < /strong>Ransomware: Det er en 'gylden æra' for cyberkriminelle – og det kan blive værre, før det bliver bedre
Andre grupper, der er nævnt i Microsofts rapport, omfattede en spirende iransk hackergruppe, der for nylig målrettede Israel og amerikanske organisationer i Den Persiske Golf med angreb med adgangskodespray.
Microsoft fremhæver, at vedtagelsen af ransomware hjalp de iranske hackeres indsats med spionage, forstyrrelse og ødelæggelse og til at understøtte fysiske operationer. Deres arsenal af angreb omfattede ransomware, diskviskere, mobil malware, phishing, password-spray-angreb, masseudnyttelse af sårbarheder og forsyningskædeangreb.
Sikkerhed
Windows 10 er en sikkerhedskatastrofe, der venter på at ske. Hvordan vil Microsoft rydde op i sit rod? Denne malware kan true millioner af routere og IoT-enheder Costco-kunder klager over svigagtige afgifter, firma bekræfter kortskimmingangreb Exchange Server-fejl: Patch øjeblikkeligt, advarer Microsoft Gennemsnitlig ransomware-betaling for amerikanske ofre for mere end $6 millioner Microsoft Patch tirsdag: 55 fejl knust, to under aktiv udnyttelse Security TV | Datastyring | CXO | Datacentre