L’actor de amenaces iranià Agrius, anteriorment conegut com Americium, s’ha relacionat amb el Ministeri d’Intel·ligència i Seguretat (MOIS) d’Iran i es coneix que està actiu des de desembre de 2020. Recentment s’ha observat que fan servir una nova varietat de ransomware anomenada Moneybird en els seus atacs contra organitzacions israelianes. Moneybird està programat en C ++, una desviació de l’escorxador .NET convertit en ransomware Apostle i el seu successor Fantasy, que s’utilitzaven en intrusions disruptives contra les indústries de diamants a Sud-àfrica, Israel i Hong Kong.
La seqüència d’infecció comença amb l’explotació de vulnerabilitats en servidors web exposats a Internet, seguit de la implementació d’una escletxa web anomenada ASPXSpy. Aquesta s’utilitza per fer reconeixement, moure lateralment, recollir credencials i exfiltrar dades, així com executar el ransomware Moneybird. Moneybird està dissenyat per xifrar fitxers sensibles a la carpeta “F: \ User Shares” i deixar una nota de rescat que insta a l’empresa a contactar amb ells dins de les 24 hores o correr el risc de veure les seves dades robades filtrades.
L’ús de Moneybird és indicatiu de les capacitats expandides d’Agrius, així com dels seus esforços per reforçar l’atribució i la detecció. No obstant això, continuen fent servir eines i tècniques similars a les anteriors. Agrius és només un dels diversos grups estatals iranians que s’enfoquen a Israel, incloent MuddyWater i Tortoiseshell. S’han observat aquests grups aprofitant infraestructures SMB compromeses per a campanyes de phishing i robatori financer, i cada vegada més s’enfoquen a les petites i mitjanes empreses.
Source: Hackernews
Per mitigar amenaces potencials, és important implementar mesures addicionals de ciberseguretat amb l’ajuda d’un soci de confiança com INFRA www.infrascan.net o bé pots provar-ho tu mateix utilitzant check.website.