El actor amenazador iraní Agrius, anteriormente conocido como Americium, ha sido vinculado con el Ministerio de Inteligencia y Seguridad (MOIS) de Irán, y se sabe que es activo desde diciembre de 2020. Recientemente, se los ha observado usando una nueva cepa de ransomware llamada Moneybird en sus ataques contra organizaciones israelíes. Moneybird está programado en C ++, una salida de la wiper-turned-ransomware Apostle y su sucesor Fantasy, que se utilizaron en intrusiones disruptivas contra industrias de diamantes en Sudáfrica, Israel y Hong Kong.
La secuencia de infección comienza con la explotación de vulnerabilidades en servidores web expuestos a Internet, seguido por el despliegue de una shell web llamada ASPXSpy. Esto se utiliza entonces para realizar reconocimiento, moverse lateralmente, recolectar credenciales y exfiltrar datos, así como ejecutar el ransomware Moneybird. Moneybird está diseñado para cifrar archivos sensibles en la carpeta “F: \ User Shares” y dejar una nota de rescate instando a la empresa a contactar con ellos dentro de las 24 horas o correr el riesgo de que sus datos robados sean filtrados.
El uso de Moneybird es indicativo de la ampliación de las capacidades de Agrius, así como de su esfuerzo por endurecer los esfuerzos de atribución y detección. Sin embargo, continúan usando herramientas y técnicas similares a las anteriores. Agrius es solo uno de varios grupos patrocinados por el estado iraní que tienen como objetivo Israel, incluyendo MuddyWater y Tortoiseshell. Estos grupos han sido observados aprovechando la infraestructura SMB comprometida para campañas de phishing y robo financiero, y cada vez más se están dirigiendo a pequeñas y medianas empresas.
Source: Hackernews
Para mitigar posibles amenazas, es importante implementar medidas adicionales de ciberseguridad con la ayuda de un socio de confianza como INFRA www.infrascan.net o puede intentarlo usted mismo utilizando check.website.