Іранські хакери націлені на американські організації за допомогою програм-вимагачів
Американські чиновники застерігають компанії та організації захищатися від іранських хакерів, які атакують критичну інфраструктуру за допомогою програм- вимагачів.
Уряди США, Австралії та Великобританії попередили організації щодо іранських хакерів, які атакують критичну інфраструктуру за допомогою програм-вимагачів. Попередження було оприлюднене в середу спільним консультантом, включаючи ФБР, Агентство кібербезпеки та безпеки інфраструктури (CISA), Національний центр кібербезпеки Великобританії (NCSC) і Австралійський центр кібербезпеки (ACSC).
США стверджують, що підтримувані Іраном хакери тепер націлені на організації з програмним забезпеченням-вимагачем – TechCrunch | #Microsoft | #злом |#кібербезпека #dasable_link
— Національна кібербезпека (@NcsVentures) 17 листопада 2021 р
У спільній рекомендації додатково розповідається, що іранські зловмисники з березня використовують уразливість Microsoft Exchange ProxyShell і вразливості Fortinet, щоб отримати доступ до критично важливих організацій інфраструктури США. Ці вразливості можна використовувати для проведення масових фішингових атак і атак програм-вимагачів. Кінцевою метою є розгортання програм-вимагачів, вимагання та ексфільтрації.
У травні 2021 року хакери скористалися Fortigate gear, щоб отримати доступ до сервера, на якому розміщено домен муніципальної влади Америки. Наступного місяця CISA спостерігала, як хакери використовували вразливості Fortinet для доступу до серверів американських лікарень та інших медичних установ.
30 жовтня 2021 року іранська хакерська група під назвою «Чорна тінь» атакувала кілька ізраїльських організацій та веб-сайтів, які витікали в Інтернет. Група також стверджувала, що отримала доступ до серверів Cyberverse – ізраїльської інтернет-компанії, що призвело до повного припинення роботи.
Звіт Microsoft про хакерів з Ірану
Microsoft також опублікувала окрему доповідь, в якій пояснює еволюцію іранських загроз кібербезпеці, заявляючи, що вони «все частіше використовують програмне забезпечення-викуп для збору коштів або для зриву своїх цілей ». атаки з вересня 2021 року.
Microsoft виділила одну групу під назвою «Phosphorus», яка також називається APT35. Компанія відстежує цю іранську хакерську групу протягом останніх двох років. Phosphorus стоїть за кампаніями фішингу, які також спрямовані на кандидатів у президенти під час виборів у США 2020 року. Під час виборів у США угруповання було націлено на майже 100 високопоставлених політиків, послів тощо.
Microsoft також заявила, що група використовує тактику соціальної інженерії, щоб налагодити взаєморозуміння, перш ніж націлюватися на жертв за допомогою BitLocker для шифрування їхніх файлів. Microsoft також визначила іншу іранську державну групу під назвою Helium, або APT 33.
Рекомендації CISA та ФБР для організацій
CISA та ФБР попередили організації та закликали їх вжити заходів, щоб пом'якшити загрозу, яку представляють іранські хакери. Кілька місяців тому АНБ і CISA також опублікували інструкції з безпеки для захисту серверів від атак програм-вимагачів.
Організації закликають створювати резервні копії всіх своїх даних і створювати копії для збереження в автономному режимі. Таким чином, якщо сервер компанії буде зламано, ви все одно матимете доступ до своїх даних. Також рекомендується проводити аудит облікових записів співробітників, особливо тих, хто має доступ адміністратора. Усі облікові записи мають бути захищені надійними паролями та багатофакторною автентифікацією.