Iraniin sijoittautuneet hakkerit kohdistavat yhdysvaltalaisia organisaatioita Ransomwarella
Yhdysvaltain viranomaiset varoittavat yrityksiä ja organisaatioita suojelemaan itseään iranilaisilta hakkereilta, jotka kohdistavat kiristysohjelmilla kriittistä infrastruktuuria.
Yhdysvaltain, Australian ja Ison-Britannian hallitukset ovat varoittaneet organisaatioita iranilaisista hakkereista, jotka kohdistavat kohteena kriittistä infrastruktuuria kiristysohjelmilla. Varoituksen antoi keskiviikkona yhteinen neuvonta, mukaan lukien FBI, Cybersecurity and Infrastructure Security Agency (CISA), Ison-Britannian kansallinen kyberturvallisuuskeskus (NCSC) ja Australian Cyber Security Center (ACSC).
USA sanoo, että Iranin tukemat hakkerit hyökkäävät nyt organisaatioihin lunnasohjelmilla – TechCrunch | #microsoft | #hakkerointi |#kyberturvallisuus #dasable_link
— Kansallinen kyberturvallisuus (@NcsVentures) 17.11.2021
Yhteisessä neuvonnassa tarkennettiin, että iranilaiset hyökkääjät ovat käyttäneet Microsoft Exchange ProxyShell -haavoittuvuuksia ja Fortinet-haavoittuvuuksia maaliskuusta lähtien päästäkseen kriittisiin Yhdysvaltain infrastruktuuriorganisaatioihin. Näitä haavoittuvuuksia voidaan hyödyntää massiivisten tietojenkalastelu- ja kiristysohjelmien suorittamiseen. Lopullisena tavoitteena on ottaa käyttöön kiristysohjelmia, kiristystä ja suodatusta.
Toukokuussa 2021 hakkerit käyttivät Fortigate-laitteita päästäkseen palvelimelle, joka isännöi Amerikan kunnallishallinnon verkkotunnusta. Seuraavassa kuussa CISA havaitsi, että hakkerit käyttivät Fortinetin haavoittuvuuksia päästäkseen Yhdysvaltain sairaaloiden ja muiden terveydenhuoltolaitosten palvelimiin.
30 lokakuuta 2021 iranilainen hakkeriryhmä nimeltä “The Black Shadow” hyökkäsi useisiin israelilaisiin organisaatioihin ja verkkosivustoihin, jotka vuotivat tietoja verkkoon. Ryhmä väitti myös käyttäneensä Cyberverse-palvelimia – israelilaista Internet-yritystä, mikä johti täydelliseen sulkemiseen.
Microsoftin raportti iranilaisista hakkereista
Microsoft julkaisi myös erillisen raportin, jossa selitetään Iranin kyberturvallisuusuhkien kehitystä ja todettiin, että he " hyödyntävät yhä enemmän kiristysohjelmia joko kerätäkseen varoja tai häiritäkseen kohteitaan ." Raportissa Microsoft sanoi, että he ovat seuranneet kuutta iranilaista kiristysohjelmia käyttävää uhkatekijää. hyökkäykset syyskuusta 2021 lähtien.
Microsoft nosti esiin yhden ryhmän nimeltä "Phosphorus", jota kutsutaan myös APT35:ksi. Yhtiö on seurannut tätä iranilaista hakkeriryhmää viimeisen kahden vuoden ajan. Fosfori on ollut keihäänkalastelukampanjoiden takana, jotka kohdistuvat myös presidenttiehdokkaisiin Yhdysvaltain 2020 vaalien aikana. Ryhmän kohteena oli lähes 100 korkean profiilin poliitikkoa, suurlähettiläsä ja muuta Yhdysvaltain vaalien aikana.
Microsoft sanoi myös, että ryhmä on käyttänyt sosiaalisen suunnittelun taktiikkaa rakentaakseen yhteyttä ennen kuin se on kohdistettu uhreihin käyttämällä BitLockeria tiedostojensa salaamiseen. Microsoft tunnisti myös toisen Iranin valtion tukeman ryhmän nimeltä Helium tai APT 33.
CISA ja FBI:n suositukset organisaatioille
CISA ja FBI ovat varoittaneet organisaatioita ja kehottaneet niitä ryhtymään toimiin lieventääkseen iranilaisten hakkereiden aiheuttamaa uhkaa. Muutama kuukausi sitten NSA ja CISA julkaisivat myös tietoturvaohjeet palvelimien suojaamiseksi kiristysohjelmahyökkäyksiä vastaan.
Organisaatioita kehotetaan varmuuskopioimaan kaikki tietonsa ja luomaan kopiot offline-tilassa säilytettäväksi. Tällä tavalla, jos yrityksen palvelin vaarantuu, sinulla on edelleen pääsy tietoihisi. On myös suositeltavaa tarkastaa työntekijöiden tilit, erityisesti ne, joilla on järjestelmänvalvojan käyttöoikeudet. Kaikki tilit tulee suojata vahvoilla salasanoilla ja monitekijätodennuksella.