Pesquisadores de segurança encontraram pistas ligando ataques recentes com o ransomware Thanos a um grupo de hackers patrocinados pelo estado iraniano. Enquanto investigavam incidentes de segurança em várias organizações israelenses, pesquisadores da ClearSky e da Profero disseram que ligaram as invasões ao MuddyWater, um grupo de hackers patrocinado pelo estado iraniano.
O grupo MuddyWater usava e-mails de phishing carregando documentos Excel ou PDF maliciosos que, quando abertos, baixariam e instalariam malwares dos servidores dos hackers.
Grupo de hackers do estado iraniano é vinculado a ransomware
Além disso, o MuddyWater varria a internet em busca de servidores de e-mail Microsoft Exchange não corrigidos, explorava a vulnerabilidade CVE-2020-0688, instalava um shell da web no servidor e, em seguida, baixava e instalava o mesmo malware.
A ClearSky diz que esse malware não era apenas um código malicioso, mas uma variedade que foi vista e documentada apenas uma vez antes. Chamada de PowGoop, essa ameaça baseada em PowerShell foi vista no início de setembro e foi usada para instalar o ransomware Thanos. Outros ataques de ransomware Thanos (ou Hakbit) usaram outros malwares para implantar o ransomware.
Em um relatório, a ClearSky diz que eles pararam as intrusões antes que os invasores pudessem causar qualquer dano, mas a empresa agora está levantando um sinal de alarme.
Em uma entrevista, os pesquisadores da ClearSky disseram que o MuddyWater teria tentado instalar o ransomware Thanos como um meio de ocultar seus ataques e destruir evidências de invasões criptografando arquivos em redes hackeadas.
Notícias Relacionadas
Tecnologia móvel
Samsung destaca avanço nas mensagens RCS com suporte no iOS
O suporte a RCS chega ao iOS com o iOS 18.1, permitindo que usuários de Android e iPhone aproveitem uma experiência de mensagens aprimorada e sem necessidade de redes sociais.
Mercado elétrico
Xiaomi atinge R$ 7,14 bilhões em receita com veículos elétricos no 3º trimestre de 2024
Xiaomi fecha o 3º trimestre de 2024 com R$ 7,14 bilhões em receita com veículos elétricos, impulsionado pelo sucesso da série SU7, apesar do prejuízo operacional.
A tática de implantar ransomware para ocultar intrusões já foi usada antes por outras operações patrocinadas pelo estado e está bem documentada.
Ataques anteriores do ransomware Thanos agora precisam ser revisitados e pesquisados em busca de evidências sob uma nova luz.
Fonte: ZDNET
Microsoft acusa hackers ligados à China de infectarem o Azure
EUA acusa hackers iranianos por violar empresas de satélite dos EUA
