Moneybird Ransomware utilizzato negli attacchi alle entità israeliane

ransomware

Agrius, un gruppo di hacker iraniano noto anche come Pink Sandstorm e precedentemente Americium, ha sviluppato un nuovo tipo di ransomware chiamato Moneybird. I ricercatori di CheckPoint hanno scoperto questo malware pericoloso, il che significa un cambiamento significativo nelle tattiche di Agrius mentre ora prendono di mira le organizzazioni israeliane.

Agrius ha una storia di attacchi distruttivi di cancellazione dei dati contro entità israeliane, spesso mascherandole da infezioni ransomware. Lo sviluppo di Moneybird, programmato in C++, mette in mostra le competenze in espansione del gruppo e il costante impegno nella creazione di nuovi strumenti informatici.

Almeno da dicembre 2020, Agrius è stato ricondotto a intrusioni dirompenti mirate alle industrie dei diamanti in Sud Africa, Israele e Hong Kong. In passato, il gruppo utilizzava un ransomware basato su .NET chiamato Apostle, che in seguito si è evoluto in Fantasy. Tuttavia, Moneybird, codificato in C++, dimostra le capacità informatiche in continua evoluzione del gruppo.

Moneybird - Propagazione e attività

L'operazione ransomware Moneybird dimostra la crescente competenza tecnica e la dedizione di Agrius allo sviluppo di nuovi strumenti informatici. Impiega una sofisticata metodologia di attacco che inizia sfruttando le vulnerabilità nei server Web esposti pubblicamente. Questo sfruttamento iniziale consente l'implementazione di una web shell ASPXSpy, che funge da primo punto di ingresso nella rete dell'organizzazione presa di mira.

Una volta all'interno, la web shell funge da canale di comunicazione per fornire una serie di noti strumenti progettati per la ricognizione approfondita, il movimento laterale, la raccolta di credenziali e l'esfiltrazione di dati sensibili all'interno dell'ambiente della vittima.

Successivamente, il ransomware Moneybird viene distribuito sull'host compromesso e prende di mira in modo specifico i file sensibili nella cartella "F:\User Shares". Al momento dell'esecuzione, il ransomware lascia dietro di sé una richiesta di riscatto, spingendo le vittime a prendere contatto entro 24 ore o rischiare che i loro dati rubati vengano divulgati pubblicamente.

Moneybird utilizza AES-256 con GCM per la crittografia, impiegando una tecnica sofisticata che genera chiavi di crittografia univoche per ciascun file. I metadati crittografati vengono aggiunti alla fine di ogni file, rendendo il ripristino e la decrittazione dei dati estremamente impegnativi, se non impossibili, nella maggior parte dei casi.

Cosa sono gli Advanced Persistent Threat Actors o APT?

Gli Advanced Persistent Threat Actors (APT) sono attori di minacce o gruppi di hacker sofisticati e altamente qualificati che conducono attacchi informatici mirati a lungo termine contro organizzazioni specifiche, spesso con il sostegno di stati-nazione o entità dotate di risorse adeguate. Gli APT sono caratterizzati dalle loro tecniche avanzate, persistenza e intenzione di infiltrarsi e compromettere sistemi mirati per lunghi periodi, spesso rimanendo inosservati.

Ecco alcune caratteristiche e tratti chiave associati agli APT:

  • Tecniche avanzate: gli attori APT impiegano tecniche di hacking avanzate, inclusi exploit zero-day, malware personalizzato, rootkit e sofisticate tattiche di ingegneria sociale. Sviluppano costantemente i loro metodi per aggirare le misure di sicurezza e mantenere il loro accesso.
  • Persistenza: gli APT si impegnano a raggiungere i propri obiettivi e a mantenere una presenza a lungo termine all'interno di sistemi compromessi. Possono stabilire più punti di ingresso, creare backdoor e utilizzare canali di comunicazione furtivi per mantenere la persistenza.
  • Attacchi mirati: gli APT si concentrano su obiettivi specifici, come agenzie governative, appaltatori della difesa, infrastrutture critiche, istituti di ricerca o società multinazionali. Conducono un'accurata ricognizione per raccogliere informazioni e adattare i loro attacchi per sfruttare vulnerabilità specifiche all'interno dell'infrastruttura del bersaglio.
  • Sostegno dello stato-nazione: le APT sono spesso associate a stati-nazione o entità sponsorizzate dallo stato che cercano vantaggi politici, economici o militari. Possono disporre di risorse sostanziali, capacità di intelligence e protezioni legali, che consentono loro di condurre campagne estese e prolungate.
  • Esfiltrazione di dati: un obiettivo primario degli APT è l'esfiltrazione di dati preziosi, tra cui proprietà intellettuale, segreti commerciali, informazioni classificate o informazioni di identificazione personale (PII). I dati rubati possono essere sfruttati per spionaggio, guadagno economico, vantaggio competitivo o future operazioni informatiche.
  • Operazioni segrete: le APT danno la priorità al mantenimento di un profilo basso e all'evitare il rilevamento. Impiegano sofisticate tecniche di evasione, come misure anti-forensi, crittografia e offuscamento per nascondere le loro attività ed eludere i sistemi di sicurezza.

Esempi di noti gruppi APT includono APT29 (noto anche come Cozy Bear o The Dukes), APT28 (noto anche come Fancy Bear o Sofacy), Equation Group, Comment Crew e Lazarus Group.

May 26, 2023
Caricamento in corso...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.