Binnen een ransomwarebende: pas op voor deze agressieve tactieken Bekijk nu
Microsoft heeft de activiteiten gedetailleerd beschreven van zes Iraanse hackersgroepen die achter golven van ransomware-aanvallen zitten die sinds september 2020 elke zes tot acht weken zijn binnengekomen.
Rusland wordt vaak gezien als de thuisbasis van de grootste cybercriminele ransomware-bedreigingen, maar door de staat gesponsorde aanvallers uit Noord-Korea en Iran hebben ook een groeiende interesse getoond in ransomware.
Microsoft zei dat Iraanse hackgroepen ransomware gebruiken om geld in te zamelen of hun doelen te verstoren, en dat ze “geduldig en volhardend” zijn terwijl ze met hun doelen omgaan, hoewel ze agressieve brute-force-aanvallen zullen gebruiken.
ZIE: Een winnende strategie voor cyberbeveiliging(ZDNet speciaal rapport)
De meest consistente van de zes Iraanse dreigingsgroepen is een die Microsoft volgt als Fosfor (anderen noemen het APT35). Microsoft speelt de afgelopen twee jaar kat en muis met de groep. Hoewel Microsoft aanvankelijk bekend stond om zijn cyberspionage, beschrijft Microsoft de strategieën van de groep voor het inzetten van ransomware op gerichte netwerken, waarbij vaak Microsoft's Windows-schijfversleutelingstool BitLocker wordt gebruikt om de bestanden van slachtoffers te versleutelen.
Andere cyberbeveiligingsbedrijven ontdekten vorig jaar een toename van ransomware door door de Iraanse staat gesteunde hackers die bekende Microsoft Exchange-kwetsbaarheden gebruikten om persistente webshells op e-mailservers en Thanos-ransomware te installeren.
Volgens Microsoft richtte Phosphorus zich ook op niet-gepatchte on-premise Exchange-servers en Fortinet's FortiOS SSL VPN om ransomware in te zetten.
In de tweede helft van 2021 begon de groep met scannen voor de vier Exchange-fouten die bekend staan als ProxyShell en die aanvankelijk werden misbruikt als zero-days door door Peking gesteunde hackers.
Microsoft heeft in april patches uitgebracht voor CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 en CVE-2021-27065. ProxyLogon was een van de vele exploits waaruit ProxyShell bestond.
Een account van beveiligingsspecialist DFIR Report merkt op dat Phosphorus BitLocker op servers en DiskCryptor op pc's gebruikte. Hun activiteit viel op omdat het niet afhankelijk was van ransomware-as-a-service-aanbiedingen die populair zijn onder cybercriminelen, en omdat het geen aangepaste versleutelaars maakte.
“Na het compromitteren van de oorspronkelijke server (via kwetsbare VPN of Exchange Server), verhuisden de actoren lateraal naar een ander systeem op het slachtoffernetwerk om toegang te krijgen tot waardevollere bronnen”, merkt het Microsoft Threat Intelligence Center (MSTIC) op in een blogpost.
“Van daaruit hebben ze een script geïmplementeerd om de schijven op meerdere systemen te coderen. Slachtoffers kregen de opdracht contact op te nemen met een specifieke Telegram-pagina om te betalen voor de decoderingssleutel.”
De groep probeert ook inloggegevens te stelen door “interviewverzoeken” naar gerichte personen te sturen via e-mails die trackinglinks bevatten om te bevestigen of de gebruiker het bestand heeft geopend. Zodra een reactie is ontvangen van de doelgebruiker, sturen de aanvallers een link naar een lijst met interviewvragen en vervolgens een link naar een nep-Google Meeting, die inloggegevens zou stelen.
ZIE: < /strong>Ransomware: het is een 'gouden tijdperk' voor cybercriminelen – en het kan erger worden voordat het beter wordt
Andere groepen die in het Microsoft-rapport worden genoemd, waren een opkomende Iraanse hackgroep die onlangs Israël en Amerikaanse organisaties in de Perzische Golf aanviel met aanvallen met wachtwoorden.
Microsoft benadrukt dat de invoering van ransomware de Iraanse hackers hielp bij spionage, verstoring en vernietiging, en om fysieke operaties te ondersteunen. Hun arsenaal aan aanvallen omvatte ransomware, schijfwissers, mobiele malware, phishing, aanvallen met wachtwoordspray, massale exploitatie van kwetsbaarheden en aanvallen op de toeleveringsketen.
Beveiliging
Windows 10 is een beveiligingsramp die staat te gebeuren. Hoe gaat Microsoft zijn rommel opruimen? Deze malware zou miljoenen routers en IoT-apparaten kunnen bedreigen Costco-klanten klagen over frauduleuze kosten, bedrijf bevestigt kaart skimming-aanval Exchange Server-bug: patch onmiddellijk, waarschuwt Microsoft Gemiddelde ransomware-betaling voor Amerikaanse slachtoffers meer dan $ 6 miljoen Microsoft Patch dinsdag: 55 bugs geplet, twee onder actief exploit Security TV | Gegevensbeheer | CXO | Datacenters