Los investigadores de SentinelOne descubrieron el desarrollo de un grupo de piratas informáticos iraníes, Agrius, que está atacando objetivos israelíes en una amplia campaña de espionaje. Tal como se define, el actor de amenazas está utilizando una combinación de herramientas personalizadas y las disponibles públicamente para atacar a sus objetivos, explotando inicialmente las últimas vulnerabilidades en sus redes. Luego, implementan un limpiador disfrazado de ransomware llamado Apóstol, para borrar los datos del objetivo.
Hackers iraníes borran datos de objetivos de Israel
Los grupos de piratería patrocinados por el estado o los llamados APT a menudo se dirigen a otros en busca de inteligencia en lugar de dinero. Pero, algunos grupos golpean con un motivo que simplemente interrumpe las operaciones del objetivo y degrada la fama pública. Uno de esos grupos es Agrius, un APT iraní que generalmente se dirige a instituciones con malware ransomware.
Pero, ahora han evolucionado a un nivel completamente nuevo. según SentinelOnequien descubrió los últimos ataques de Agrius contra objetivos de Israel. Como describieron, el grupo de amenazas comienza a golpear las vulnerabilidades comunes que se encuentran en los dispositivos de la red del objetivo, para obtener acceso inicial. Algunos de ellos incluyen FortiOS CVE-2018-13379, inyección SQL, cualquier vulnerabilidad de aplicación web de 1 día.
Una vez dentro, implementan un malware .NET personalizado llamado ‘Ayudante de IPsec’ para obtener acceso de puerta trasera a la máquina de la víctima e implementan malware adicional para futuras explotaciones. Esto incluye la implementación de un malware de limpieza llamado Apóstol, que se disfraza de ransomware cuando se infecta.
Agrius fue visto inicialmente usando un limpiaparabrisas llamado COSA VIEJA (o Detbosit) y destruyó datos de varios objetivos de Arabia Saudita en 2019. Ahora, como una cepa evolucionada, los atacantes están estafando a las víctimas como ransomware y piden rescate por descifrar sus sistemas.
Pero en el fondo ya han borrado los datos con su limpiaparabrisas Apóstol. Sobre este enfoque típico, los investigadores de SentinelOne dijeron: “Creemos que la implementación de la funcionalidad de encriptación está ahí para enmascarar su intención real: destruir los datos de las víctimas..”
