Funzionari statunitensi avvertono le aziende e le organizzazioni di proteggersi dagli hacker con sede in Iran che prendono di mira le infrastrutture critiche con il ransomware.
I governi statunitense, australiano e britannico hanno messo in guardia le organizzazioni in merito agli hacker iraniani che prendono di mira le infrastrutture critiche con il ransomware. L'avvertimento è stato emesso mercoledì dalla consulenza congiunta tra cui l'FBI, la Cybersecurity and Infrastructure Security Agency (CISA), il National Cyber Security Center (NCSC) del Regno Unito e l'Australian Cyber Security Center (ACSC).
Gli Stati Uniti affermano che gli hacker sostenuti dall'Iran stanno ora prendendo di mira le organizzazioni con ransomware – TechCrunch | #Microsoft | #hacking |#sicurezza informatica #dasable_link
— Sicurezza informatica nazionale (@NcsVentures) 17 novembre 2021
L'avviso congiunto ha ulteriormente dettagliato che gli aggressori iraniani hanno sfruttato la vulnerabilità di Microsoft Exchange ProxyShell e le vulnerabilità di Fortinet da marzo per ottenere l'accesso alle organizzazioni infrastrutturali critiche degli Stati Uniti. Queste vulnerabilità possono essere sfruttate per eseguire attacchi di phishing su larga scala e attacchi ransomware. L'obiettivo finale è distribuire ransomware, estorsioni ed esfiltrazioni.
Nel maggio 2021, gli hacker hanno sfruttato l'attrezzatura Fortigate per accedere al server che ospita un dominio per il governo municipale americano. Il mese successivo, la CISA ha osservato gli hacker che utilizzavano le vulnerabilità di Fortinet per accedere ai server degli ospedali statunitensi e di altre istituzioni sanitarie.
Il 30 ottobre 2021, un gruppo di hacker iraniano chiamato “The Black Shadow” ha attaccato diverse organizzazioni e siti web israeliani facendo trapelare dati online. Il gruppo ha anche affermato di aver avuto accesso ai server Cyberverse, una società Internet israeliana, con conseguente arresto completo.
Report di Microsoft sugli hacker con sede in Iran
Microsoft ha anche pubblicato un rapporto separato che spiega l' evoluzione delle minacce alla sicurezza informatica iraniane, affermando che stanno " utilizzando sempre più ransomware per raccogliere fondi o distruggere i loro obiettivi ". attacchi da settembre 2021.
Microsoft ha individuato un gruppo chiamato "Phosphorus" chiamato anche APT35. La società ha seguito questo gruppo di hacker con sede in Iran negli ultimi due anni. Il fosforo è stato alla base delle campagne di spear-phishing anche contro i candidati alla presidenza durante le elezioni statunitensi del 2020. Il gruppo ha preso di mira quasi 100 politici di alto profilo, ambasciatori e altro durante le elezioni statunitensi.
Microsoft ha anche affermato che il gruppo ha utilizzato tattiche di ingegneria sociale per creare un rapporto prima di prendere di mira le vittime che utilizzano BitLocker per crittografare i propri file. Microsoft ha anche identificato un altro gruppo sponsorizzato dallo stato iraniano chiamato Helium, o APT 33.
Raccomandazioni CISA e FBI per le organizzazioni
La CISA e l'FBI hanno avvertito le organizzazioni e le hanno esortate a intraprendere azioni per mitigare la minaccia rappresentata dagli hacker iraniani. Alcuni mesi fa, NSA e CISA hanno anche pubblicato linee guida di sicurezza per proteggere i server dagli attacchi ransomware.
Le organizzazioni sono invitate a eseguire il backup di tutti i propri dati e a creare copie da mantenere offline. In questo modo, nel caso in cui un server aziendale venga compromesso, avrai comunque accesso ai tuoi dati. Si consiglia inoltre di controllare gli account dei dipendenti, in particolare quelli che hanno accesso come amministratore. Tutti gli account devono essere protetti con password complesse e autenticazione a più fattori.