Perangkat Lunak Perusak Penghapus Data yang Menyamar Sebagai Ransomware Menargetkan Entitas Israel

  • Whatsapp
data-wiper-ransomware

Para peneliti pada hari Selasa mengungkapkan kampanye spionase baru yang menggunakan serangan penghapus data destruktif yang menargetkan entitas Israel setidaknya sejak Desember 2020 yang menyamarkan aktivitas jahat itu sebagai pemerasan ransomware.

Perusahaan keamanan dunia maya SentinelOne mengaitkan serangan itu dengan aktor negara-bangsa yang berafiliasi dengan Iran yang dilacaknya dengan nama “Agrius”.

Bacaan Lainnya

“Analisis tentang apa yang pada pandangan pertama tampak sebagai serangan ransomware mengungkapkan varian baru wiper yang dikerahkan dalam serangkaian serangan destruktif terhadap sasaran Israel,” para peneliti. kata. “Operator di balik serangan tersebut dengan sengaja menutupi aktivitas mereka sebagai serangan ransomware, perilaku yang tidak biasa untuk kelompok yang bermotivasi finansial.”

auditor kata sandi

Modus operandi grup melibatkan penyebaran malware .NET khusus yang disebut Apostle yang telah berevolusi menjadi ransomware yang berfungsi penuh, menggantikan kemampuan penghapus sebelumnya, sementara beberapa serangan telah dilakukan menggunakan penghapus kedua bernama DEADWOOD (alias Detbosit) setelah logika cacat pada versi awal Apostle mencegah data dihapus.

Selain itu, para pelaku Agrius menjatuhkan implan .NET yang disebut Pembantu IPsec yang dapat digunakan untuk mengekstrak data atau menyebarkan malware tambahan. Terlebih lagi, taktik aktor ancaman juga telah menyaksikan pergeseran dari spionase ke menuntut tebusan dari korbannya untuk memulihkan akses ke data terenkripsi, hanya untuk membuat mereka benar-benar dihancurkan dalam serangan penghapusan.

data-wiper-ransomware

Selain menggunakan ProtonVPN untuk anonimisasi, siklus serangan Agrius memanfaatkan kerentanan 1 hari dalam aplikasi berbasis web, termasuk CVE-2018-13379, untuk mendapatkan pijakan awal dan kemudian mengirimkan shell web ASPXSpy untuk mempertahankan akses jarak jauh ke sistem yang disusupi dan menjalankan perintah sewenang-wenang.

Jika ada, penelitian tersebut menambah bukti bahwa aktor yang disponsori negara yang memiliki hubungan dengan pemerintah Iran semakin melihat operasi ransomware sebagai teknik licik untuk meniru kelompok ransomware cybercriminal bermotivasi finansial lainnya.

Dokumen yang bocor baru-baru ini oleh Lab Dookhtegan mengungkapkan inisiatif yang disebut “Project Signal ” yang menghubungkan Korps Pengawal Revolusi Islam Iran dengan operasi ransomware melalui perusahaan kontraktor.

“Meskipun mengganggu dan efektif, aktivitas ransomware memberikan penyangkalan, memungkinkan negara untuk mengirim pesan tanpa menyalahkan langsung,” kata para peneliti. “Strategi serupa telah digunakan dengan efek yang menghancurkan oleh aktor-aktor yang disponsori negara-bangsa lainnya.”

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *