Hackers Iranianos Agrius estão mirando em organizações israelenses com o ransomware Moneybird
25 de Maio de 2023

O grupo ameaçador iraniano conhecido como Agrius está utilizando uma nova cepa de ransomware chamada Moneybird em seus ataques direcionados às organizações israelenses.

Agrius, também conhecido como Pink Sandstorm (anteriormente Americium), tem um histórico de ataques destrutivos de exclusão de dados direcionados a Israel sob o disfarce de infecções de ransomware.

A Microsoft atribuiu o grupo ao Ministério de Inteligência e Segurança do Irã (MOIS), que também opera o MuddyWater.

O grupo é conhecido por estar ativo desde pelo menos dezembro de 2020.

Em dezembro de 2022, a equipe de hackers foi atribuída a um conjunto de intrusões disruptivas tentadas que foram direcionadas às indústrias de diamantes na África do Sul, Israel e Hong Kong.

Esses ataques envolveram o uso de um wiper transformado em ransomware chamado Apostle e seu sucessor conhecido como Fantasy.

Ao contrário do Apostle, o Moneybird é programado em C++.

Os pesquisadores da Check Point, Marc Salinas Fernandez e Jiri Vinopal, afirmam que "o uso de um novo ransomware, escrito em C++, é notável, pois demonstra as capacidades em expansão do grupo e o esforço contínuo no desenvolvimento de novas ferramentas".

A sequência de infecção começa com a exploração de vulnerabilidades em servidores web expostos à internet, levando à implantação de um shell web referido como ASPXSpy.

Nos passos subsequentes, o shell web é usado como um condutor para entregar ferramentas conhecidas publicamente, a fim de realizar o reconhecimento do ambiente da vítima, mover-se lateralmente, colher credenciais e exfiltrar dados.

Também é executado no host comprometido o ransomware Moneybird, que é projetado para criptografar arquivos sensíveis na pasta "F:\ User Shares" e deixar uma nota de resgate pedindo que a empresa entre em contato com eles dentro de 24 horas ou correr o risco de ter suas informações roubadas vazadas.

"O uso de um novo ransomware demonstra os esforços adicionais do ator para aprimorar as capacidades, bem como endurecer a atribuição e os esforços de detecção", dizem os pesquisadores.

"Apesar dessas novas 'coberturas', o grupo continua a seguir seu comportamento usual e utilizar ferramentas e técnicas semelhantes às anteriores".

Agrius está longe de ser o único grupo patrocinado pelo estado iraniano a se envolver em operações cibernéticas direcionadas a Israel.

Um relatório da Microsoft do mês passado descobriu a colaboração da MuddyWater com outro cluster chamado Storm-1084 (também conhecido como DEV-1084) para implantar o ransomware DarkBit.

As descobertas também surgem quando a ClearSky divulgou que pelo menos oito sites associados a empresas de serviços de transporte, logística e financeiros em Israel foram comprometidos como parte de um ataque de watering hole orquestrado pelo grupo Tortoiseshell vinculado ao Irã.

Em um desenvolvimento relacionado, a Proofpoint revelou que os provedores de serviços gerenciados (MSPs) regionais dentro de Israel foram alvo da MuddyWater como parte de uma campanha de phishing projetada para iniciar ataques de cadeia de suprimentos contra seus clientes downstream.

A empresa de segurança empresarial destacou ainda ameaças crescentes às pequenas e médias empresas (PMEs) de grupos de ameaças sofisticados, que foram observados alavancando infraestrutura de PMEs comprometidas para campanhas de phishing e roubo financeiro.

Publicidade

Já viu o Cyberpunk Guide?

Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers. Saiba mais...