Serviços oferecidos por uma obscura empresa iraniana conhecida como Cloudzy estão sendo utilizados por múltiplos atores de ameaça, incluindo grupos de cibercrime e grupos de hackers patrocinados pelo Estado.
"Embora a Cloudzy seja incorporada nos Estados Unidos, ela quase certamente opera fora de Teerã, Irã - possivelmente violando as sanções dos EUA - sob a direção de alguém com o nome de Hassan Nozari", disse Halcyon em um novo relatório publicado na terça-feira.
A empresa de segurança cibernética baseada no Texas afirmou que a empresa age como um provedor de comendo e controle (C2P), que fornece aos invasores servidores privados virtuais de protocolo de área de trabalho remota (RDP) e outros serviços anonimizados que os afiliados de ransomware e outros usam para realizar os ciberataques.
"[C2Ps] desfrutam de uma brecha de responsabilidade que não os obriga a garantir que a infraestrutura que eles fornecem não esteja sendo usada para operações ilegais", declarou Halcyon em uma declaração compartilhada com The Hacker News.
O modelo de negócios ransomware-como-serviço (RaaS) é altamente evoluído, abrangendo os desenvolvedores principais; afiliados, que realizam os ataques em troca de uma fatia; e corretores de acesso inicial, que exploram vulnerabilidades conhecidas ou credenciais roubadas para obter uma posição e vender esse acesso para afiliados.
O surgimento de provedores C2P aponta para um novo conjunto de atores que "consciente ou inconscientemente" fornecem a infraestrutura para realizar os ataques.
Alguns dos atores-chave que vem utilizando Cloudzy incluem entidades patrocinadas pelo estado de China (APT10), Índia (Sidewinder), Irã (APT33 e APT34), Coreia do Norte (Kimsuky, Konni e Lazarus Group), Paquistão (Transparent Tribe), Rússia (APT29 e Turla) e Vietnã (OceanLotus), bem como entidades de cibercrime (Evil Corp e FIN12).
Também na mistura estão dois afiliados de ransomware chamados Ghost Clown e Space Kook que usam as variantes de ransomware BlackBasta e Royal, respectivamente, e o controverso vendedor de spyware israelense Candiru.
Suspeita-se que atores mal-intencionados estejam contando com o fato de que a compra de serviços VPS da Cloudzy só requer um endereço de e-mail operacional e pagamento anônimo em criptomoeda, tornando-a propensa a abusos e aumentando a possibilidade de que os atores de ameaças possam estar armando empresas pouco conhecidas para promover grandes ataques.
"Se seu servidor VPS for suspenso devido a mau uso ou uso abusivo, como usos proibidos: Phishing, Spamming, Pornografia Infantil, Atacando outras pessoas, etc.", lê-se na documentação de suporte no site da Cloudzy.
"Há uma multa entre $250 até $1.000 dólares ou NÃO HÁ como levantar a suspensão; isso depende do tipo de reclamação."
"Embora essas entidades C2P sejam ostensivamente negócios legítimos que podem ou não saber que suas plataformas estão sendo utilizadas para campanhas de ataque, eles ainda fornecem um pilar fundamental do maior aparato de ataque aproveitado por alguns dos atores de ameaça mais avançados", disse a empresa.
Publicidade
Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers.
Saiba mais...