Moneybird Ransomware som används i attacker mot israeliska enheter

ransomware

Agrius, en iransk hackargrupp även känd som Pink Sandstorm och tidigare Americium, har utvecklat en ny typ av ransomware som kallas Moneybird. CheckPoint-forskare upptäckte denna farliga skadliga programvara, vilket innebär en betydande förändring i Agrius taktik när de nu riktar sig mot israeliska organisationer.

Agrius har en historia av att ha utfört destruktiva attacker mot israeliska enheter, ofta förklädd som ransomware-infektioner. Utvecklingen av Moneybird, programmerad i C++, visar upp gruppens växande kompetens och pågående engagemang för att skapa nya cyberverktyg.

Sedan åtminstone december 2020 har Agrius spårats tillbaka till att störa intrång riktade mot diamantindustrier i Sydafrika, Israel och Hong Kong. Tidigare använde gruppen en .NET-baserad ransomware som heter Apostle, som senare utvecklades till Fantasy. Men Moneybird, kodad i C++, demonstrerar gruppens utvecklande cyberförmåga.

Moneybird - Förökning och aktivitet

Moneybird ransomware-operationen visar Agrius ökande tekniska expertis och engagemang för att utveckla nya cyberverktyg. Den använder en sofistikerad attackmetod som börjar med att utnyttja sårbarheter i offentligt exponerade webbservrar. Denna initiala exploatering tillåter distribution av ett ASPXSpy-webbskal, som fungerar som den första ingångspunkten till den riktade organisationens nätverk.

Väl inne fungerar webbskalet som en kommunikationskanal för att leverera en uppsättning välkända verktyg utformade för djupgående spaning, sidoförflyttning, insamling av autentiseringsuppgifter och exfiltrering av känslig data i offrets miljö.

Därefter distribueras Moneybird ransomware på den komprometterade värden och riktar sig specifikt mot känsliga filer i mappen "F:\User Shares". Vid avrättning lämnar lösenprogrammet efter sig en lösensumma, vilket pressar offren att ta kontakt inom 24 timmar eller riskera att deras stulna data läcker ut offentligt.

Moneybird använder AES-256 med GCM för kryptering, med en sofistikerad teknik som genererar unika krypteringsnycklar för varje fil. Krypterad metadata läggs till i slutet av varje fil, vilket gör dataåterställning och dekryptering mycket utmanande, om inte omöjligt, i de flesta fall.

Vad är Advanced Persistent Threat Actors eller APT?

Advanced Persistent Threat Actors (APTs) är sofistikerade och mycket skickliga hotaktörer eller hackargrupper som utför långsiktiga, riktade cyberattacker mot specifika organisationer, ofta med stöd av nationalstater eller välresursstarka enheter. APT kännetecknas av deras avancerade tekniker, uthållighet och avsikt att infiltrera och kompromissa med målinriktade system under längre perioder, ofta oupptäckta.

Här är några viktiga egenskaper och egenskaper associerade med APT:er:

  • Avancerade tekniker: APT-aktörer använder avancerade hackningstekniker, inklusive zero-day exploits, anpassad skadlig kod, rootkits och sofistikerad social ingenjörsteknik. De utvecklar ständigt sina metoder för att kringgå säkerhetsåtgärder och behålla sin åtkomst.
  • Uthållighet: APT:er är engagerade i att uppnå sina mål och upprätthålla långsiktig närvaro i komprometterade system. De kan etablera flera ingångspunkter, skapa bakdörrar och använda smygande kommunikationskanaler för att upprätthålla uthållighet.
  • Riktade attacker: APT fokuserar på specifika mål, såsom statliga myndigheter, försvarsentreprenörer, kritisk infrastruktur, forskningsinstitutioner eller multinationella företag. De genomför grundlig spaning för att samla in intelligens och skräddarsy sina attacker för att utnyttja specifika sårbarheter inom målets infrastruktur.
  • Nationalstatlig stöd: APT:er förknippas ofta med nationalstater eller statligt sponsrade enheter som söker politiska, ekonomiska eller militära fördelar. De kan ha betydande resurser, underrättelsekapacitet och juridiskt skydd, vilket gör att de kan genomföra omfattande och långvariga kampanjer.
  • Dataexfiltrering: Ett primärt mål med APT är att exfiltrera värdefull data, inklusive immateriella rättigheter, affärshemligheter, sekretessbelagd information eller personlig identifierbar information (PII). De stulna uppgifterna kan utnyttjas för spionage, ekonomisk vinning, konkurrensfördelar eller framtida cyberoperationer.
  • Hemliga operationer: APT:er prioriterar att hålla en låg profil och undvika upptäckt. De använder sofistikerade undanflyktstekniker, såsom anti-kriminaltekniska åtgärder, kryptering och förvirring för att dölja sina aktiviteter och undvika säkerhetssystem.

Exempel på välkända APT-grupper inkluderar APT29 (även känd som Cozy Bear eller The Dukes), APT28 (även känd som Fancy Bear eller Sofacy), Equation Group, Comment Crew och Lazarus Group.

År Zaib
May 26, 2023
Ransomware
Svenska
May 26, 2023
Ransomware

Populära inlägg

Microsoft varnar statligt stödda hotaktörer använder AI i...

5 days sedan

Trojan Al11 Detektering av skadlig programvara

11 months sedan

Popup-fönster "Din iCloud hackas" och "Din iPhone har blivit...

7 months sedan

Pinaview är en fullfjädrad adware-app

10 months sedan

Vad är Lucky Ransomware?

7 months sedan

"American Express - Uppdatera din kontoinformation"...

6 months sedan
Svenska
Läser in...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Hem

Produkter

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Support

Hjälpfiler Vanliga frågor Downloads Inquiries & Support

Företag

Om oss Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Integritetspolicy Cookie Policy Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows är ett varumärke som tillhör Microsoft, registrerat i USA och andra länder.
Mac, iPhone, iPad och App Store är varumärken som tillhör Apple Inc., registrerade i USA och andra länder.
iOS är ett registrerat varumärke som tillhör Cisco Systems, Inc. och/eller dess dotterbolag i USA och vissa andra länder.
Android och Google Play är varumärken som tillhör Google LLC.