Pesquisadores de segurança encontraram pistas ligando ataques recentes com o ransomware Thanos a um grupo de hackers patrocinados pelo estado iraniano. Enquanto investigavam incidentes de segurança em várias organizações israelenses, pesquisadores da ClearSky e da Profero disseram que ligaram as invasões ao MuddyWater, um grupo de hackers patrocinado pelo estado iraniano.
O grupo MuddyWater usava e-mails de phishing carregando documentos Excel ou PDF maliciosos que, quando abertos, baixariam e instalariam malwares dos servidores dos hackers.
Grupo de hackers do estado iraniano é vinculado a ransomware
Além disso, o MuddyWater varria a internet em busca de servidores de e-mail Microsoft Exchange não corrigidos, explorava a vulnerabilidade CVE-2020-0688, instalava um shell da web no servidor e, em seguida, baixava e instalava o mesmo malware.
A ClearSky diz que esse malware não era apenas um código malicioso, mas uma variedade que foi vista e documentada apenas uma vez antes. Chamada de PowGoop, essa ameaça baseada em PowerShell foi vista no início de setembro e foi usada para instalar o ransomware Thanos. Outros ataques de ransomware Thanos (ou Hakbit) usaram outros malwares para implantar o ransomware.
Em um relatório, a ClearSky diz que eles pararam as intrusões antes que os invasores pudessem causar qualquer dano, mas a empresa agora está levantando um sinal de alarme.
Em uma entrevista, os pesquisadores da ClearSky disseram que o MuddyWater teria tentado instalar o ransomware Thanos como um meio de ocultar seus ataques e destruir evidências de invasões criptografando arquivos em redes hackeadas.
A tática de implantar ransomware para ocultar intrusões já foi usada antes por outras operações patrocinadas pelo estado e está bem documentada.
Ataques anteriores do ransomware Thanos agora precisam ser revisitados e pesquisados em busca de evidências sob uma nova luz.
Fonte: ZDNET
Microsoft acusa hackers ligados à China de infectarem o Azure
EUA acusa hackers iranianos por violar empresas de satélite dos EUA
