Hakerzy z Iranu atakują amerykańskie organizacje za pomocą oprogramowania ransomware
Urzędnicy amerykańscy ostrzegają firmy i organizacje, aby chroniły się przed hakerami z Iranu, którzy atakują infrastrukturę krytyczną za pomocą oprogramowania ransomware.
Rządy USA, Australii i Wielkiej Brytanii ostrzegają organizacje przed irańskimi hakerami, którzy atakują infrastrukturę krytyczną za pomocą oprogramowania ransomware. Ostrzeżenie zostało wydane w środę przez wspólne doradcze, w tym FBI, Cybersecurity and Infrastructure Security Agency (CISA), brytyjskie National Cyber Security Center (NCSC) i Australian Cyber Security Center (ACSC).
USA twierdzą, że hakerzy wspierani przez Iran atakują teraz organizacje za pomocą oprogramowania ransomware — TechCrunch | #microsoft | #hakowanie |#cyberbezpieczeństwo #dasable_link
— Krajowe bezpieczeństwo cybernetyczne (@NcsVentures) 17 listopada 2021 r.
We wspólnym zaleceniu szczegółowo opisano, że irańscy napastnicy wykorzystywali od marca lukę Microsoft Exchange ProxyShell oraz luki Fortinet, aby uzyskać dostęp do krytycznych organizacji infrastruktury amerykańskiej. Te luki można wykorzystać do przeprowadzania masowych ataków phishingowych i ataków ransomware. Ostatecznym celem jest wdrożenie oprogramowania ransomware, wymuszeń i eksfiltracji.
W maju 2021 r. hakerzy wykorzystali sprzęt Fortigate, aby uzyskać dostęp do serwera hostującego domenę władz miejskich Ameryki. W następnym miesiącu CISA zaobserwowało, że hakerzy wykorzystują luki Fortinet w celu uzyskania dostępu do serwerów amerykańskich szpitali i innych instytucji opieki zdrowotnej.
30 października 2021 r. irańska grupa hakerów o nazwie „Czarny cień” zaatakowała kilka izraelskich organizacji i stron internetowych, które wyciekają dane online. Grupa twierdziła również, że uzyskała dostęp do serwerów Cyberverse – izraelskiej firmy internetowej, co spowodowało całkowite zamknięcie.
Raport Microsoftu na temat hakerów z Iranu
Microsoft opublikował również oddzielny raport wyjaśniający ewolucję irańskich zagrożeń cyberbezpieczeństwa, mówiąc, że „ coraz częściej wykorzystują oprogramowanie ransomware do zbierania funduszy lub zakłócania swoich celów “. W raporcie Microsoft powiedział, że śledzi sześciu irańskich cyberprzestępców wdrażających oprogramowanie ransomware. ataki od września 2021 r.
Microsoft wyróżnił jedną grupę o nazwie „Fosfor”, zwaną również APT35. Firma śledzi tę grupę hakerów z siedzibą w Iranie przez ostatnie dwa lata. Fosfor stał za kampaniami phishingu włóczniami, których celem są również kandydaci na prezydenta podczas wyborów w USA w 2020 roku. Podczas wyborów w USA grupa zaatakowała prawie 100 prominentnych polityków, ambasadorów i nie tylko.
Microsoft powiedział również, że grupa używa taktyk socjotechnicznych do budowania relacji przed atakowaniem ofiar za pomocą funkcji BitLocker do szyfrowania plików. Microsoft zidentyfikował również inną irańską grupę sponsorowaną przez państwo o nazwie Helium lub APT 33.
Zalecenia CISA i FBI dla organizacji
CISA i FBI ostrzegły organizacje i wezwały je do podjęcia działań w celu złagodzenia zagrożenia ze strony irańskich hakerów. Kilka miesięcy temu NSA i CISA opublikowały również wytyczne dotyczące bezpieczeństwa serwerów przed atakami ransomware.
Organizacje są zachęcane do tworzenia kopii zapasowych wszystkich swoich danych i tworzenia kopii, które mają być utrzymywane w trybie offline. W ten sposób, w przypadku włamania na serwer firmy, nadal będziesz mieć dostęp do swoich danych. Zaleca się również audyt kont pracowniczych, zwłaszcza tych, które mają dostęp administratora. Wszystkie konta powinny być chronione silnymi hasłami i uwierzytelnianiem wieloskładnikowym.