Официальные лица США призывают компании и организации защищаться от базирующихся в Иране хакеров, атакующих критически важную инфраструктуру с помощью программ- вымогателей.
Правительства США, Австралии и Великобритании предупредили организации об иранских хакерах, атакующих критически важную инфраструктуру с помощью программ-вымогателей. Предупреждение было выпущено в среду совместным советом, включающим ФБР, Агентство по кибербезопасности и безопасности инфраструктуры (CISA), Национальный центр кибербезопасности Великобритании (NCSC) и Австралийский центр кибербезопасности (ACSC).
США заявляют, что поддерживаемые Ираном хакеры теперь нацелены на организации с помощью программ-вымогателей – TechCrunch | #микрософт | #взлом |#кибербезопасность #dasable_link
— Национальная кибербезопасность (@NcsVentures) 17 ноября 2021 г.
В совместном бюллетене уточняется, что иранские злоумышленники с марта используют уязвимость Microsoft Exchange ProxyShell и уязвимости Fortinet, чтобы получить доступ к критически важным инфраструктурным организациям США. Эти уязвимости могут быть использованы для проведения массовых фишинговых атак и атак программ-вымогателей. Конечной целью является развертывание программ-вымогателей, вымогательства и эксфильтрации.
В мае 2021 года хакеры использовали оборудование Fortigate для доступа к серверу, на котором размещен домен муниципального правительства Америки. В следующем месяце CISA наблюдала, как хакеры использовали уязвимости Fortinet для доступа к серверам больниц США и других медицинских учреждений.
30 октября 2021 года иранская хакерская группа под названием «Черная тень» атаковала несколько израильских организаций и веб-сайтов с утечкой данных в Интернете. Группа также утверждала, что получила доступ к серверам Cyberverse — израильской интернет-компании, что привело к полному отключению.
Отчет Microsoft о базирующихся в Иране хакерах
Microsoft также выпустила отдельный отчет, объясняющий эволюцию иранских угроз кибербезопасности, в котором говорится, что они «все чаще используют программы-вымогатели либо для сбора средств, либо для нарушения своих целей ». атак с сентября 2021 года.
Microsoft выделила одну группу под названием «Phosphorus», также называемую APT35. Компания отслеживала эту базирующуюся в Иране хакерскую группу в течение последних двух лет. Phosphorus стоит за кампаниями целевого фишинга, в том числе нацеленными на кандидатов в президенты во время выборов в США в 2020 году. Группа нацелилась почти на 100 высокопоставленных политиков, послов и многих других во время выборов в США.
Microsoft также заявила, что группа использовала тактику социальной инженерии, чтобы установить некоторое взаимопонимание, прежде чем нацеливаться на жертв, использующих BitLocker для шифрования своих файлов. Microsoft также выявила еще одну группу, спонсируемую иранским государством, под названием Helium, или APT33.
Рекомендации CISA и ФБР для организаций
CISA и ФБР предупредили организации и призвали их принять меры для снижения угрозы, исходящей от иранских хакеров. Несколько месяцев назад АНБ и CISA также опубликовали рекомендации по защите серверов от атак программ-вымогателей.
Организациям настоятельно рекомендуется создавать резервные копии всех своих данных и создавать копии, которые будут храниться в автономном режиме. Таким образом, в случае компрометации сервера компании у вас все равно будет доступ к вашим данным. Также рекомендуется проверять учетные записи сотрудников, особенно тех, у кого есть права администратора. Все учетные записи должны быть защищены надежными паролями и многофакторной аутентификацией.