Microsoft warnt vor 6 iranischen Hackergruppen, die sich Ransomware zuwenden

Nationalstaatliche Betreiber mit Verbindungen zum Persien wenden sich zunehmend Ransomware zu, um Einnahmen zu generieren und ihre Ziele mutwillig zu sabotieren, während sie sich sogar an geduldigen und beharrlichen Social-Engineering-Kampagnen und aggressiven Brute-Force-Angriffen beteiligen.

Nicht weniger denn sechs mit dem westasiatischen Nationalstaat verbundene Bedrohungsakteure wurden entdeckt, die Ransomware einsetzen, um ihre strategischen Ziele zu gelingen .”

Bemerkenswert ist ein denn Phosphorus (sogar namhaft denn Charming Kleben oder APT35) verfolgter Bedrohungsakteur, dieser IP-Adressen im Web nachdem ungepatchten Fortinet FortiOS SSL-VPN und lokalen Exchange-Servern gescannt hat, um anfänglichen Zugriff und Persistenz in anfälligen Netzwerken zu erhalten, vor Umzug, um zusätzliche Nutzlasten bereitzustellen, die es den Akteuren zuteilen, hinauf andere Maschinen zu wechseln und Ransomware bereitzustellen.

Eine weitere in dasjenige Playbook integrierte Taktik besteht darin, ein Netzwerk fiktiver Social-Media-Accounts zu nutzen, die sich unter anderem denn attraktive Frauen verteilen, um gut mehrere Monate hinweg Vertrauen zu Zielen aufzubauen und schließlich mit Schadsoftware versehene Dokumente bereitzustellen, die eine Datenexfiltration aus den Opfersystemen zuteilen. Sowohl Phosphorus denn sogar ein zweiter Bedrohungsakteur namens Curium wurden gesichtet, während sie solche “geduldigen” Social Engineering-Methoden einsetzten, um ihre Ziele zu gefährden

“Die Angreifer konstruieren im Laufe dieser Zeit eine Kontakt zu den Zielbenutzern hinauf, während sie eine ständige und kontinuierliche Kommunikation nach sich ziehen, die es ihnen ermöglicht, Vertrauen und Vertrauen zu dem Ziel aufzubauen”, sagten MSTIC-Forscher. In vielen dieser Fälle, die wir beobachtet nach sich ziehen, glaubten die Ziele wirklich, dass sie eine menschliche Zusammenhang herstellen und nicht mit einem vom Persien aus agierenden Bedrohungsakteur interagieren.”

Ein dritter Trend ist dieser Sicherheit von Passwort-Spray-Angriffen, um Office 365-Mandanten anzugreifen, die hinauf US-, EU- und israelische Verteidigungstechnologieunternehmen abzielen.

Darüber hinaus nach sich ziehen die Hackergruppen sogar die Fähigkeit bewiesen, sich je nachdem ihren strategischen Zielen und ihrem Handwerk anzupassen und ihre Form zu verändern, und sich zu “kompetenteren Bedrohungsakteuren” zu prosperieren, die in Störungs- und Informationsoperationen kompetent sind, während sie ein Spektrum von Angriffen tun, wie Cyberspionage, Phishing- und Passwort-Spraying-Angriffe, den Sicherheit mobiler Schadsoftware, Wiper und Ransomware und sogar Supply-Chain-Angriffe.

Die Ergebnisse sind vornehmlich bedeutsam infolge einer neuen Warnung von Cybersicherheitsbehörden aus Down Under, Großbritannien und den USA, die vor einer anhaltenden Woge von Einbrüchen warnt, die von dieser iranischen Regierung gesponserte Hackergruppen unter Verwendung von Microsoft Exchange ProxyShell- und Fortinet-Schwachstellen durchgeführt werden.

“Welche von dieser iranischen Regierung gesponserten APT-Akteure können diesen Zugang für jedes Folgeoperationen wie Datenexfiltration oder -verschlüsselung, Ransomware und Erpressung nutzen”, heißt es in einem gemeinsamen Bulletin, dasjenige am Mittwoch veröffentlicht wurde.