Il gruppo di minaccia iraniano Agrius, precedentemente noto come Americium, è stato collegato al Ministero dell’Intelligence e della Sicurezza (MOIS) in Iran ed è noto essere attivo dal dicembre 2020. Recentemente sono stati osservati utilizzando una nuova variante di ransomware chiamata Moneybird nei loro attacchi contro organizzazioni israeliane. Moneybird è programmato in C++, una deviazione dal ransomware-turned-ransomware basato su .NET Apostle e dal suo successore Fantasy, che sono stati utilizzati in intrusioni disruptive contro le industrie dei diamanti in Sud Africa, Israele e Hong Kong.
La sequenza di infezione inizia con l’esplorazione di vulnerabilità nei server web esposti su internet, seguita dal deployment di una web shell chiamata ASPXSpy. Questa viene quindi utilizzata per eseguire ricognizioni, spostamenti laterali, raccolta di credenziali e exfiltration di dati, nonché per eseguire il ransomware Moneybird. Moneybird è progettato per criptare i file sensibili nella cartella “F:\User Shares” e lasciare una nota di riscatto che esorta l’azienda a contattarli entro 24 ore o rischiare di far trapelare le informazioni rubate.
L’uso di Moneybird è indicativo delle crescenti capacità di Agrius, nonché dei loro sforzi per rafforzare l’attribuzione e la rilevazione. Tuttavia, continuano a utilizzare gli stessi strumenti e tecniche di prima. Agrius è solo uno dei diversi gruppi sponsorizzati dallo stato iraniano che mirano a Israele, tra cui MuddyWater e Tortoiseshell. Questi gruppi sono stati osservati sfruttando infrastrutture SMB compromesse per campagne di phishing e furto finanziario, e stanno sempre più mirando a piccole e medie imprese.
Source: Hackernews
Per mitigare potenziali minacce, è importante implementare ulteriori misure di sicurezza informatica con l’aiuto di un partner affidabile come INFRA www.infrascan.net o è possibile provarci da soli utilizzando check.website.