Quer apoiar meu projeto de divulgação de noticias? E ainda divulgar suas redes sociais
Agora é possivel Veja a noticia completa em: https://www.bleepingcomputer.com/news/security/iranian-hackers-use-new-moneybird-ransomware-to-attack-israeli-orgs/
Fonte: https://www.bleepingcomputer.com
Achou esse artigo interessante? Siga canalfsociety em
Instagram,
Facebook,
Telegram,
Twitter,
App Boletim Tec e
App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos. #samirnews #samir #news #boletimtec #hackers #iranianos #usam #novo #ransomware #moneybird #para #atacar #organizações #israelenses
Um suposto agente de ameaças apoiado pelo estado iraniano conhecido como 'Agrius' agora está implantando uma nova variedade de ransomware chamada 'Moneybird' contra organizações israelenses.
A Agrius tem direcionado ativamente entidades em Israel e na região do Oriente Médio desde pelo menos 2021 sob vários pseudônimos enquanto implanta limpadores de dados em ataques destrutivos.
Os pesquisadores da Check Point que descobriram a nova variedade de ransomware acreditam que a Agrius o desenvolveu para ajudar a expandir suas operações, enquanto o uso de 'Moneybird' é mais uma das tentativas do grupo de ameaças para cobrir seus rastros.
ataques Moneybird
Os pesquisadores da Check Point dizem que os agentes de ameaças inicialmente obtêm acesso às redes corporativas explorando vulnerabilidades em servidores públicos, dando à Agrius uma posição inicial na rede da organização.
Em seguida, os hackers se escondem atrás de nós ProtonVPN baseados em Israel para implantar variantes de webshells ASPXSpy escondidos dentro de arquivos de texto "Certificado", uma tática que a Agrius usou em campanhas anteriores.
Webshell no arquivo de texto (Check Point)
Depois de implantar os webshells, os invasores passam a usar ferramentas de código aberto que ajudam no reconhecimento de rede usando SoftPerfect Network Scanner, movimento lateral, comunicação segura usando Plink/PuTTY, roubo de credenciais com ProcDump e exfiltração de dados usando FileZilla.
Na próxima fase do ataque, o Agrius busca o executável Moneybird ransomware de plataformas legítimas de hospedagem de arquivos como 'ufile.io' e 'easyupload.io'.
Visão geral do ataque Agrius (ponto de verificação)
Após o lançamento, a cepa de ransomware C++ criptografará os arquivos de destino usando AES-256 com GCM (Galois/Counter Mode), gerando chaves de criptografia exclusivas para cada arquivo e anexando metadados criptografados no final.
Nos casos vistos pela Check Point, o ransomware visava apenas "F:\User Shares", uma pasta compartilhada comum em redes corporativas usada para armazenar documentos corporativos, bancos de dados e outros arquivos relacionados à colaboração.
Essa segmentação restrita indica que o Moneybird visa mais causar interrupção nos negócios do que bloquear os computadores afetados.
Arquivo de configuração determinando os parâmetros de segmentação (Check Point)
A Check Point explica que a restauração de dados e a descriptografia de arquivos seriam extremamente desafiadoras, pois as chaves privadas usadas para criptografar cada arquivo são geradas usando dados do GUID do sistema, conteúdo do arquivo, caminho do arquivo e números aleatórios.
Código de geração de chave privada (Check Point)
Após a criptografia, as notas de resgate são lançadas nos sistemas afetados, instando a vítima a seguir o link fornecido em 24 horas para obter instruções sobre como restaurar seus dados.
"Olá NÓS SOMOS MONEYBIRD! Todos os seus dados criptografados! Se você deseja restaurá-los, siga este link em 24 horas", diz a nota de resgate do Moneybird.
Nota de resgate Moneybird (Check Point)
Ao contrário dos ataques anteriores vinculados ao Agrius, acredita-se que o Moneybird seja um ransomware, e não um limpador, destinado a gerar receita para financiar as operações maliciosas dos agentes de ameaças.
No entanto, no caso visto pela Check Point Research, a demanda de resgate era tão alta que se sabia desde o início que o pagamento dificilmente seria feito, tornando o ataque essencialmente destrutivo.
"Sim, as negociações poderiam ser possíveis, mas a demanda era extremamente alta, o que nos leva a acreditar que é parte do truque. Eles sabiam que ninguém pagaria, então o dano e o vazamento de dados eram esperados. Não era um limpador", Eli Smadga, Gerente do grupo de pesquisa da Check Point Research, disse ao BleepingComputer.
Um ransomware simples, mas eficaz
A Check Point explica que o Moneybird carece de recursos de análise de linha de comando que permitem configurações específicas da vítima e mais versatilidade de implantação e, em vez disso, depende de um blob de configuração incorporado.
Isso significa que os parâmetros de comportamento do ransomware são predefinidos e não podem ser facilmente ajustados para cada alvo ou circunstância, tornando a tensão inadequada para campanhas em massa.
Para Agrius, no entanto, o Moneybird ainda é uma ferramenta eficaz de interrupção dos negócios, e o desenvolvimento adicional que leva ao lançamento de versões mais novas e mais capazes pode torná-lo uma ameaça formidável para uma ampla gama de organizações israelenses.
Postar um comentário