Im Iran ansässige Hacker zielen mit Ransomware auf US-Organisationen ab
US-Beamte warnen Unternehmen und Organisationen, sich vor Hackern aus dem Iran zu schützen, die mit Ransomware auf kritische Infrastrukturen abzielen .
Die Regierungen der USA, Australiens und Großbritanniens haben Organisationen vor iranischen Hackern gewarnt, die mit Ransomware auf kritische Infrastrukturen abzielen. Die Warnung wurde am Mittwoch von dem gemeinsamen Beratungsgremium herausgegeben, dem das FBI, die Cybersecurity and Infrastructure Security Agency (CISA), das britische National Cyber Security Centre (NCSC) und das Australian Cyber Security Centre (ACSC) angehören.
Die USA sagen, dass vom Iran unterstützte Hacker jetzt Organisationen mit Ransomware angreifen – TechCrunch | #Microsoft | #hacken |#Cybersicherheit #dasable_link
– Nationale Cybersicherheit (@NcsVentures) 17 November 2021
In dem gemeinsamen Gutachten heißt es weiter, dass iranische Angreifer seit März die Microsoft Exchange ProxyShell-Schwachstellen und die Fortinet-Schwachstellen ausnutzen, um sich Zugang zu kritischen US-Infrastrukturorganisationen zu verschaffen. Diese Schwachstellen können ausgenutzt werden, um Massen-Phishing-Angriffe und Ransomware-Angriffe auszuführen. Das ultimative Ziel ist der Einsatz von Ransomware, Erpressung und Exfiltration.
Im Mai 2021 nutzten Hacker Fortigate-Ausrüstung aus, um auf den Server zuzugreifen, auf dem eine Domain für die amerikanische Stadtverwaltung gehostet wird. Im nächsten Monat beobachtete CISA Hacker, die Fortinet-Schwachstellen nutzten, um auf Server von US-Krankenhäusern und anderen Gesundheitseinrichtungen zuzugreifen.
Am 30. Oktober 2021 griff eine iranische Hackergruppe namens „The Black Shadow“ mehrere israelische Organisationen und Websites an, die Daten online preisgaben. Die Gruppe behauptete auch, auf Cyberverse-Server – ein israelisches Internetunternehmen – zugegriffen zu haben, was zu einer vollständigen Abschaltung führte.
Bericht von Microsoft über im Iran ansässige Hacker
Microsoft hat auch einen separaten Bericht veröffentlicht, in dem die Entwicklung der iranischen Cybersicherheitsbedrohungen erläutert wird, in dem es heißt, dass sie „ zunehmend Ransomware verwenden, um entweder Gelder zu sammeln oder ihre Ziele zu stören „. Angriffe seit September 2021.
Microsoft hat eine Gruppe namens „Phosphorus“, auch APT35 genannt, herausgegriffen. Das Unternehmen verfolgt diese im Iran ansässige Hackergruppe seit zwei Jahren. Phosphorus stand hinter Spear-Phishing-Kampagnen, die auch auf Präsidentschaftskandidaten während der US-Wahlen 2020 abzielten. Die Gruppe hat während der US-Wahlen fast 100 hochkarätige Politiker, Botschafter und mehr ins Visier genommen.
Microsoft sagte auch, dass die Gruppe Social-Engineering-Taktiken verwendet hat, um eine gewisse Beziehung aufzubauen, bevor sie Opfer angreift, die BitLocker verwenden, um ihre Dateien zu verschlüsseln. Microsoft identifizierte auch eine andere staatlich geförderte iranische Gruppe namens Helium oder APT 33.
CISA- und FBI-Empfehlungen für Organisationen
CISA und das FBI haben Organisationen gewarnt und sie aufgefordert, Maßnahmen zu ergreifen, um die Bedrohung durch iranische Hacker abzuschwächen. Vor einigen Monaten veröffentlichten NSA und CISA auch Sicherheitsrichtlinien zum Schutz von Servern vor Ransomware-Angriffen.
Organisationen werden dringend gebeten, alle ihre Daten zu sichern und Kopien zu erstellen, die offline gewartet werden können. Auf diese Weise haben Sie im Falle einer Kompromittierung eines Unternehmensservers weiterhin Zugriff auf Ihre Daten. Es wird auch empfohlen, Mitarbeiterkonten zu prüfen, insbesondere diejenigen mit Administratorzugriff. Alle Konten sollten mit starken Passwörtern und Multi-Faktor-Authentifizierung geschützt werden.