Moneybird Ransomware brugt i angreb på israelske enheder

ransomware

Agrius, en iransk hackergruppe også kendt som Pink Sandstorm og tidligere Americium, har udviklet en ny type ransomware kaldet Moneybird. CheckPoint-forskere opdagede denne farlige malware, som betyder en væsentlig ændring i Agrius' taktik, da de nu retter sig mod israelske organisationer.

Agrius har en historie med at udføre destruktive datasletningsangreb på israelske enheder, ofte forklædt som ransomware-infektioner. Udviklingen af Moneybird, programmeret i C++, viser gruppens ekspanderende færdigheder og løbende engagement i at skabe nye cyberværktøjer.

Siden mindst december 2020 er Agrius blevet sporet tilbage til at forstyrre indtrængen rettet mod diamantindustrier i Sydafrika, Israel og Hong Kong. Tidligere brugte gruppen en .NET-baseret ransomware kaldet Apostle, som senere udviklede sig til Fantasy. Men Moneybird, kodet i C++, demonstrerer gruppens udviklende cyberkapaciteter.

Moneybird - Formering og aktivitet

Moneybird-ransomware-operationen demonstrerer Agrius' stigende tekniske ekspertise og dedikation til at udvikle nye cyberværktøjer. Den anvender en sofistikeret angrebsmetodologi, der begynder med at udnytte sårbarheder i offentligt eksponerede webservere. Denne indledende udnyttelse tillader udrulning af en ASPXSpy web-shell, som fungerer som det første indgangspunkt til den målrettede organisations netværk.

Når den først er inde, fungerer web-skallen som en kommunikationskanal til at levere et sæt velkendte værktøjer designet til dybdegående rekognoscering, lateral bevægelse, indsamling af legitimationsoplysninger og eksfiltrering af følsomme data i ofrets miljø.

Efterfølgende implementeres Moneybird ransomware på den kompromitterede vært og målretter specifikt mod følsomme filer i mappen "F:\User Shares". Ved henrettelse efterlader løsesumwaren en løsesumseddel, der presser ofrene til at tage kontakt inden for 24 timer eller risikere, at deres stjålne data bliver lækket offentligt.

Moneybird bruger AES-256 med GCM til kryptering, ved at anvende en sofistikeret teknik, der genererer unikke krypteringsnøgler til hver fil. Krypterede metadata tilføjes i slutningen af hver fil, hvilket gør datagendannelse og dekryptering meget udfordrende, hvis ikke umuligt, i de fleste tilfælde.

Hvad er Advanced Persistent Threat Actors eller APT'er?

Advanced Persistent Threat Actors (APT'er) er sofistikerede og højtuddannede trusselsaktører eller hackergrupper, der udfører langsigtede, målrettede cyberangreb mod specifikke organisationer, ofte med opbakning fra nationalstater eller velressourcemæssige enheder. APT'er er karakteriseret ved deres avancerede teknikker, vedholdenhed og hensigt om at infiltrere og kompromittere målrettede systemer i længere perioder, ofte forbliver uopdaget.

Her er nogle nøgleegenskaber og træk forbundet med APT'er:

  • Avancerede teknikker: APT-aktører anvender avancerede hackingteknikker, herunder zero-day exploits, tilpasset malware, rootkits og sofistikerede social engineering-taktik. De udvikler konstant deres metoder til at omgå sikkerhedsforanstaltninger og bevare deres adgang.
  • Vedholdenhed: APT'er er forpligtet til at nå deres mål og opretholde langsigtet tilstedeværelse i kompromitterede systemer. De kan etablere flere indgangspunkter, skabe bagdøre og bruge snigende kommunikationskanaler til at opretholde vedholdenhed.
  • Målrettede angreb: APT'er fokuserer på specifikke mål, såsom statslige agenturer, forsvarsentreprenører, kritisk infrastruktur, forskningsinstitutioner eller multinationale selskaber. De udfører grundig rekognoscering for at indsamle efterretninger og skræddersy deres angreb til at udnytte specifikke sårbarheder i målets infrastruktur.
  • Nationalstatsstøtte: APT'er er ofte forbundet med nationalstater eller statssponsorerede enheder, der søger politiske, økonomiske eller militære fordele. De kan have betydelige ressourcer, efterretningskapaciteter og juridisk beskyttelse, hvilket giver dem mulighed for at udføre omfattende og langvarige kampagner.
  • Dataeksfiltrering: Et primært formål med APT'er er at udslette værdifulde data, herunder intellektuel ejendom, forretningshemmeligheder, klassificerede oplysninger eller personlig identificerbar information (PII). De stjålne data kan udnyttes til spionage, økonomisk vinding, konkurrencefordel eller fremtidige cyberoperationer.
  • Hemmelige operationer: APT'er prioriterer at opretholde en lav profil og undgå opdagelse. De anvender sofistikerede unddragelsesteknikker, såsom anti-kriminaltekniske foranstaltninger, kryptering og sløring for at skjule deres aktiviteter og undgå sikkerhedssystemer.

Eksempler på velkendte APT-grupper inkluderer APT29 (også kendt som Cozy Bear eller The Dukes), APT28 (også kendt som Fancy Bear eller Sofacy), Equation Group, Comment Crew og Lazarus Group.

I Zaib
May 26, 2023
Ransomware
Dansk
May 26, 2023
Ransomware

Populære opslag

Microsoft advarer om statsstøttede trusselsaktører, der bruger...

5 days siden

Trojan Al11 Malware Detektion

11 months siden

Pop-ups "Din iCloud bliver hacket" og "Din iPhone er blevet...

7 months siden

Pinaview er en fuldt udstyret adware-app

10 months siden

Hvad er Lucky Ransomware?

7 months siden

'American Express - Opdater dine kontooplysninger' E-mail-fidus

6 months siden
Dansk
Indlæser...

Cyclonis Backup Details & Terms

Gratis Basic Cyclonis Backup-planen giver dig 2 GB skylagerplads med fuld funktionalitet! Intet kreditkort påkrævet. Har du brug for mere lagerplads? Køb en større Cyclonis Backup-plan i dag! For at lære mere om vores politikker og priser, se Servicevilkår, Fortrolighedspolitik, Rabatbetingelser og Købsside. Hvis du ønsker at afinstallere appen, skal du besøge siden med instruktioner til afinstallation.

Cyclonis Password Manager Details & Terms

GRATIS prøveperiode: 30-dages engangstilbud! Intet kreditkort kræves for gratis prøveperiode. Fuld funktionalitet i hele den gratis prøveperiode. (Fuld funktionalitet efter gratis prøveversion kræver abonnementskøb.) For at lære mere om vores politikker og priser, se EULA, privatlivspolitik, rabatvilkår og købsside. Hvis du ønsker at afinstallere appen, skal du besøge siden med instruktioner til afinstallation.

Hjem

Produkter

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Support

Help Files FAQ Downloads Inquiries & Support

Selskab

Om os Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Fortrolighedspolitik Cookiepolitik Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows er et varemærke tilhørende Microsoft, registreret i USA og andre lande.
Mac, iPhone, iPad og App Store er varemærker tilhørende Apple Inc., registreret i USA og andre lande.
iOS er et registreret varemærke tilhørende Cisco Systems, Inc. og/eller dets datterselskaber i USA og visse andre lande.
Android og Google Play er varemærker tilhørende Google LLC.