Moneybird ransomware utilizado en ataques contra entidades israelíes

ransomware

Agrius, un grupo de piratería iraní también conocido como Pink Sandstorm y anteriormente Americium, ha desarrollado un nuevo tipo de ransomware llamado Moneybird. Los investigadores de CheckPoint descubrieron este peligroso malware, lo que significa un cambio significativo en las tácticas de Agrius, ya que ahora apuntan a organizaciones israelíes.

Agrius tiene un historial de llevar a cabo ataques destructivos de borrado de datos en entidades israelíes, a menudo disfrazándolos como infecciones de ransomware. El desarrollo de Moneybird, programado en C++, muestra las habilidades en expansión del grupo y el compromiso continuo de crear nuevas herramientas cibernéticas.

Desde al menos diciembre de 2020, se ha rastreado que Agrius interrumpió las intrusiones dirigidas a las industrias de diamantes en Sudáfrica, Israel y Hong Kong. En el pasado, el grupo utilizó un ransomware basado en .NET llamado Apóstol, que luego se convirtió en Fantasy. Sin embargo, Moneybird, codificado en C++, demuestra las capacidades cibernéticas en evolución del grupo.

Moneybird - Propagación y Actividad

La operación de ransomware Moneybird demuestra la creciente experiencia técnica y la dedicación de Agrius para desarrollar nuevas herramientas cibernéticas. Emplea una metodología de ataque sofisticada que comienza explotando vulnerabilidades en servidores web expuestos públicamente. Esta explotación inicial permite la implementación de un shell web ASPXSpy, que sirve como el primer punto de entrada a la red de la organización objetivo.

Una vez dentro, el caparazón web actúa como un canal de comunicación para entregar un conjunto de herramientas conocidas diseñadas para el reconocimiento en profundidad, el movimiento lateral, la recolección de credenciales y la filtración de datos confidenciales dentro del entorno de la víctima.

Posteriormente, el ransomware Moneybird se implementa en el host comprometido y se dirige específicamente a archivos confidenciales en la carpeta "F:\User Shares". Tras la ejecución, el ransomware deja una nota de rescate, presionando a las víctimas para que se pongan en contacto dentro de las 24 horas o corren el riesgo de que sus datos robados se filtren públicamente.

Moneybird utiliza AES-256 con GCM para el cifrado, empleando una técnica sofisticada que genera claves de cifrado únicas para cada archivo. Los metadatos cifrados se agregan al final de cada archivo, lo que hace que la restauración y el descifrado de datos sean muy desafiantes, si no imposibles, en la mayoría de los casos.

¿Qué son los actores de amenazas persistentes avanzadas o APT?

Los Actores de Amenazas Persistentes Avanzadas (APT) son actores de amenazas sofisticados y altamente calificados o grupos de piratería que realizan ataques cibernéticos dirigidos a largo plazo contra organizaciones específicas, a menudo con el respaldo de estados-nación o entidades con buenos recursos. Las APT se caracterizan por sus técnicas avanzadas, su persistencia y su intención de infiltrarse y comprometer los sistemas específicos durante períodos prolongados, a menudo sin ser detectados.

Estas son algunas características y rasgos clave asociados con las APT:

  • Técnicas avanzadas: los actores de APT emplean técnicas avanzadas de piratería, que incluyen exploits de día cero, malware personalizado, rootkits y tácticas sofisticadas de ingeniería social. Evolucionan constantemente sus métodos para eludir las medidas de seguridad y mantener su acceso.
  • Persistencia: las APT se comprometen a lograr sus objetivos y mantener una presencia a largo plazo dentro de los sistemas comprometidos. Pueden establecer múltiples puntos de entrada, crear puertas traseras y utilizar canales de comunicación sigilosos para mantener la persistencia.
  • Ataques dirigidos: los APT se enfocan en objetivos específicos, como agencias gubernamentales, contratistas de defensa, infraestructura crítica, instituciones de investigación o corporaciones multinacionales. Realizan un reconocimiento exhaustivo para recopilar inteligencia y adaptar sus ataques para explotar vulnerabilidades específicas dentro de la infraestructura del objetivo.
  • Respaldo del estado-nación: las APT a menudo se asocian con estados-nación o entidades patrocinadas por estados que buscan ventajas políticas, económicas o militares. Pueden tener recursos sustanciales, capacidades de inteligencia y protecciones legales, lo que les permite llevar a cabo campañas extensas y prolongadas.
  • Exfiltración de datos: un objetivo principal de las APT es extraer datos valiosos, incluida la propiedad intelectual, los secretos comerciales, la información clasificada o la información de identificación personal (PII). Los datos robados pueden explotarse para espionaje, ganancias económicas, ventajas competitivas o futuras operaciones cibernéticas.
  • Operaciones encubiertas: las APT priorizan mantener un perfil bajo y evitar la detección. Emplean técnicas de evasión sofisticadas, como medidas antiforenses, encriptación y ofuscación para ocultar sus actividades y evadir los sistemas de seguridad.

Ejemplos de grupos APT conocidos incluyen APT29 (también conocido como Cozy Bear o The Dukes), APT28 (también conocido como Fancy Bear o Sofacy), Equation Group, Comment Crew y Lazarus Group.

May 26, 2023
Cargando...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.