in

Grupo de hackers do estado iraniano é vinculado a implantações de ransomware

O grupo MuddyWater usava e-mails de phishing carregando documentos Excel ou PDF maliciosos.

Grupo de hackers do estado iraniano é vinculado a implantações de ransomware

Pesquisadores de segurança encontraram pistas ligando ataques recentes com o ransomware Thanos a um grupo de hackers patrocinados pelo estado iraniano. Enquanto investigavam incidentes de segurança em várias organizações israelenses, pesquisadores da ClearSky e da Profero disseram que ligaram as invasões ao MuddyWater, um grupo de hackers patrocinado pelo estado iraniano.

O grupo MuddyWater usava e-mails de phishing carregando documentos Excel ou PDF maliciosos que, quando abertos, baixariam e instalariam malwares dos servidores dos hackers.

Grupo de hackers do estado iraniano é vinculado a ransomware

Além disso, o MuddyWater varria a internet em busca de servidores de e-mail Microsoft Exchange não corrigidos, explorava a vulnerabilidade CVE-2020-0688, instalava um shell da web no servidor e, em seguida, baixava e instalava o mesmo malware.

Grupo de hackers do estado iraniano é vinculado a implantações de ransomware
Pesquisadores de segurança encontraram pistas ligando ataques recentes com o ransomware Thanos a um grupo de hackers patrocinados pelo estado iraniano.

A ClearSky diz que esse malware não era apenas um código malicioso, mas uma variedade que foi vista e documentada apenas uma vez antes. Chamada de PowGoop, essa ameaça baseada em PowerShell foi vista no início de setembro e foi usada para instalar o ransomware Thanos. Outros ataques de ransomware Thanos (ou Hakbit) usaram outros malwares para implantar o ransomware.

Em um relatório, a ClearSky diz que eles pararam as intrusões antes que os invasores pudessem causar qualquer dano, mas a empresa agora está levantando um sinal de alarme.

Em uma entrevista, os pesquisadores da ClearSky disseram que o MuddyWater teria tentado instalar o ransomware Thanos como um meio de ocultar seus ataques e destruir evidências de invasões criptografando arquivos em redes hackeadas.

A tática de implantar ransomware para ocultar intrusões já foi usada antes por outras operações patrocinadas pelo estado e está bem documentada.

Ataques anteriores do ransomware Thanos agora precisam ser revisitados e pesquisados em busca de evidências sob uma nova luz.

Fonte: ZDNET

Microsoft acusa hackers ligados à China de infectarem o Azure

EUA acusa hackers iranianos por violar empresas de satélite dos EUA

Ataque hacker em hospital alemão leva à morte de paciente