Autoridades dos EUA alertam empresas e organizações para se protegerem contra hackers baseados no Irã que visam infraestrutura crítica com ransomware.
Os governos dos EUA, Austrália e Reino Unido alertaram as organizações sobre hackers iranianos que estão atacando infraestrutura crítica com ransomware. O alerta foi emitido na quarta-feira pelo conselho conjunto, incluindo o FBI, a Agência de Segurança Cibernética e Infraestrutura (CISA), o Centro Nacional de Segurança Cibernética do Reino Unido (NCSC) e o Centro Australiano de Segurança Cibernética (ACSC).
EUA dizem que hackers apoiados pelo Irã agora estão atacando organizações com ransomware – TechCrunch | #microsoft | #hackeando |#cibersegurança #dasable_link
— Segurança Cibernética Nacional (@NcsVentures) 17 de novembro de 2021
O comunicado conjunto detalhou ainda que os invasores iranianos exploram a vulnerabilidade do Microsoft Exchange ProxyShell e as vulnerabilidades da Fortinet desde março para obter acesso a organizações críticas de infraestrutura dos EUA. Essas vulnerabilidades podem ser exploradas para executar ataques de phishing em grande escala e ataques de ransomware. O objetivo final é implantar ransomware, extorsão e exfiltração.
Em maio de 2021, hackers exploraram o equipamento Fortigate para acessar o servidor que hospeda um domínio para o governo municipal dos Estados Unidos. No mês seguinte, a CISA observou hackers usando vulnerabilidades Fortinet para acessar servidores de hospitais dos EUA e outras instituições de saúde.
Em 30 de outubro de 2021, um grupo de hackers iranianos chamado ‘The Black Shadow' atacou várias organizações e sites israelenses que vazavam dados online. O grupo também alegou ter acessado os servidores Cyberverse – uma empresa israelense de internet, resultando em um desligamento completo.
Relatório da Microsoft sobre hackers baseados no Irã
A Microsoft também divulgou um relatório separado explicando a evolução das ameaças de segurança cibernética iranianas, dizendo que eles estão ” cada vez mais utilizando ransomware para coletar fundos ou interromper seus alvos ". ataques desde setembro de 2021.
A Microsoft destacou um grupo chamado ‘Phosphorus' também chamado APT35. A empresa tem rastreado esse grupo de hackers com sede no Irã nos últimos dois anos. A Phosphorus está por trás de campanhas de spear phishing também direcionadas a candidatos presidenciais durante as eleições de 2020 nos EUA. O grupo teve como alvo quase 100 políticos de alto nível, embaixadores e muito mais durante as eleições dos EUA.
A Microsoft também disse que o grupo está usando táticas de engenharia social para construir algum relacionamento antes de atacar as vítimas usando o BitLocker para criptografar seus arquivos. A Microsoft também identificou outro grupo patrocinado pelo Estado iraniano chamado Helium, ou APT 33.
Recomendações da CISA e do FBI para organizações
A CISA e o FBI alertaram as organizações e as exortaram a tomar medidas para mitigar a ameaça representada pelos hackers iranianos. Alguns meses atrás, a NSA e a CISA também publicaram diretrizes de segurança para proteger servidores contra ataques de ransomware.
As organizações são instadas a fazer backup de todos os seus dados e criar cópias para serem mantidas offline. Dessa forma, caso um servidor da empresa seja comprometido, você ainda terá acesso aos seus dados. Também é aconselhável auditar as contas dos funcionários, principalmente os que têm acesso de administrador. Todas as contas devem ser protegidas com senhas fortes e autenticação multifator.