Agrius – Grup Peretasan Iran Menargetkan Israel Menggunakan Penghapus Data

  • Whatsapp
Agrius - Grup Peretasan Iran Menargetkan Israel Menggunakan Penghapus Data

 

Komunitas peretasan Agrius telah beralih dari malware penghapus yang sangat merusak menjadi campuran fungsi penghapus dan ransomware – dan berpura-pura menyimpan data hingga akhir serangan.
Penyelidik SentinelOne mengumumkan pada hari Selasa bahwa Agrius adalah orang pertama yang ditemukan dalam serangan yang menargetkan kelompok-kelompok Israel pada tahun 2020, mengevaluasi gerakan baru kelompok ancaman tersebut.
Komunitas menggunakan campuran dari toolkit yang disesuaikan dan perangkat lunak keamanan ofensif, yang dapat diakses dengan mudah, untuk menyebarkan penghapus jahat atau varian wiper-berubah-ransomware khusus. Para penyerang meminta target untuk membayar uang tebusan guna mensimulasikan serangan ransomware untuk menyembunyikan sifat sebenarnya dari serangan tersebut.
Komunitas Agrius telah berfungsi sejak awal tahun 2020, menurut para ahli. Agresi yang awalnya ditargetkan di kawasan Timur Tengah, Agrius memperluas kehadirannya sejak Desember 2020 ke sasaran Israel.
Namun tidak seperti kelompok ransomware lain seperti Maze dan Conti, Agrius tampaknya tidak bergantung pada uang — sebagai gantinya, ransomware memang merupakan tambahan baru-baru ini dan pendorong serangan yang berorientasi pada spionase dunia maya dan kehancuran.
Selain itu, Agrius mengklaim telah merampok dan mengenkripsi informasi untuk memeras korban dalam banyak serangan yang diidentifikasi oleh SentinelOne hanya ketika penghapus digunakan, namun informasi ini telah hilang.
Agrius “sengaja menutupi aktivitas mereka sebagai serangan ransomware,” kata para peneliti.
Sepanjang tahap awal serangan, Agrius menggunakan alat untuk perangkat lunak jaringan pribadi virtual (VPN), juga mengakses aplikasi dan layanan yang tersedia untuk umum yang sesuai dengan target yang dimaksudkan, seringkali melalui akun yang disusupi dan kerentanan keamanan, sebelum mencoba mengeksploitasinya.
Toolkit Agrius terdiri dari Deadwood, jenis malware penghapus berbahaya, yang juga disebut sebagai Detbosit. Kayu mati, yang dianggap sebagai pekerjaan APT33, terkait dengan serangan terhadap Arab Saudi selama 2019.
Wiper, seperti Deadwood, Shamoon, dan ZeroCleares, juga telah ditautkan ke APT33 dan APT34.
Selama serangan, Agrius juga menjatuhkan Pembantu IPsec, pintu belakang custom.NET untuk mengikat ke server perintah-dan-kontrol (C2). Selain itu, penghapus .NET baru yang dikenal sebagai Rasul sedang dibuang.
Apostle tampaknya telah ditingkatkan dan diubah untuk menyertakan modul yang dapat digunakan dalam serangan baru-baru ini terhadap fasilitas milik negara di Uni Emirat Arab. Namun demikian, tim tersebut berpendapat, bahwa itu bukanlah daya tarik finansial yang menjadi fokus Agrius selama pengembangan tetapi aspek yang mengganggu dari ransomware – seperti kemampuan untuk mengenkripsi data.
SentinelOne mengklaim tidak ada tautan “solid” yang benar-benar telah dikembangkan dengan kelompok ancaman mapan lainnya, tetapi karena keterlibatan Agrius dalam masalah Iran, penyebaran cangkang berbasis web terkait dengan varian yang diproduksi oleh Iran, dan penggunaan utama wiper – sebuah taktik serangan yang dikaitkan dengan APT Iran sejak 2002 – mengindikasikan bahwa kelompok tersebut kemungkinan besar berasal dari Republik Iran.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *