‘Agrius’ emerge para lanzar ataques de limpieza contra objetivos israelíes

El grupo está utilizando ransomware destinado a hacer que sus esfuerzos de espionaje y destrucción parezcan motivados económicamente.

Un nuevo grupo de ataque llamado Agrius está lanzando ataques de limpiaparabrisas dañinos contra objetivos israelíes, que según los investigadores se esconden detrás del ransomware para que sus actividades patrocinadas por el estado parezcan motivadas financieramente.

Los analistas de Sentinel Labs dijeron que han estado rastreando las operaciones de Agrius en Israel desde 2020 y han observado la evolución del malware del grupo, Apostle, para incluir la funcionalidad de ransomware. Los investigadores agregaron que los ataques de limpiaparabrisas se llevaron a cabo utilizando un malware secundario llamado “Deadwood” (también conocido como “Detbosit”), que Sentinel Labs dijo que tiene “vínculos no confirmados con un grupo de amenazas iraní”.

Los analistas observaron que Agrius cambió su enfoque de realizar espionaje básico a pedir dinero a las víctimas para recuperar sus datos, a pesar de que los datos fueron destruidos y no se pudieron devolver por ninguna cantidad de dinero.

“Un análisis de lo que a primera vista parecía ser un ataque de ransomware reveló nuevas variantes de limpiaparabrisas que se desplegaron en una serie de ataques destructivos contra objetivos israelíes”, explicó Sentinel Labs. “Los operadores detrás de los ataques enmascararon intencionalmente su actividad como ataques de ransomware, un comportamiento poco común para grupos motivados financieramente. Teniendo en cuenta esto y la naturaleza de los objetivos conocidos, evaluamos que este es un grupo de amenazas patrocinado por una nación “.

Tácticas en evolución de Agrius

En la mayoría de los casos, el grupo de ataque aprovecha las vulnerabilidades de 1 día disponibles públicamente en aplicaciones basadas en web o inyección SQL para el acceso inicial, según el análisis.

Agrius usa un servicio VPN, la mayoría de las veces es ProtonVPN, dijo Sentinel Labs, para acceder de forma anónima al sistema de la víctima e implementa un shell web, que para este grupo suele ser una variante del malware ASPXSpy de código abierto . Los atacantes utilizan los shells web para recopilar credenciales y moverse lateralmente por la red.

“Tras una explotación exitosa, el actor de amenazas carga un shell web”, explicó Sentinel Labs. “Esos shells web se utilizan para canalizar el tráfico en la red con el fin de aprovechar las credenciales comprometidas para moverse lateralmente mediante el protocolo de escritorio remoto”.

Se observó que Agrius usaba diferentes shells web , que según los analistas eran en gran parte variantes de ASPXSpy .

“Tres de los shells web se cargaron desde Irán, mientras que el resto se cargaron desde Pakistán, Arabia Saudita y los Emiratos Árabes Unidos”, explica el informe. “Aunque no podemos confirmar que esta implementación sea exclusiva de Agrius, es evidente que se limita a los actores regionales, muy probablemente iraníes”.

A partir de ahí, el malware de puerta trasera llamado “IPsec Helper” comprueba de forma intermitente una conexión a Internet conectándose a servidores predeterminados de Microsoft para capturar el malware Apostle .NET.

Sentinel Labs rastreó la primera iteración de limpiaparabrisas de Apostle hasta noviembre, cuando se usó para atacar a una organización israelí.

“Apostle es un malware .NET cuya funcionalidad se desarrolló iterativamente desde un limpiador hasta un ransomware completo”, dice el informe. “Creemos que la implementación de la funcionalidad de cifrado está ahí para enmascarar su intención real: destruir los datos de las víctimas”.

Agrius también apuntó a la infraestructura crítica de propiedad estatal dentro de los Emiratos Árabes Unidos, que Sentinel Labs dijo que es “bien conocida por haber sido previamente atacada por presuntos actores de amenazas iraníes”.

El ransomware no siempre es lo que parece

El ransomware se ha utilizado con éxito en el pasado como una forma para que los actores estatales eviten la culpa directa de los ataques, según Sentinel Labs, que señaló los ataques de NotPetya de 2017 y los atacantes patrocinados por el estado ruso que tenían como objetivo agencias de inteligencia en el oeste. Y justo este mes, otra ola de ataques del grupo de ransomware “n3tw0rm” dirigido a Israel y vinculado a Irán, sugiere que todos estos podrían ser parte de un esfuerzo mayor.

“El grupo aprovecha su propio conjunto de herramientas personalizadas, así como herramientas de seguridad ofensivas disponibles públicamente, para apuntar a una variedad de organizaciones en el Medio Oriente”, dijo el informe sobre el grupo atacante. “En algunos casos, el grupo aprovechó su acceso para implementar malware de limpiaparabrisas destructivo y, en otros, un ransomware personalizado. Teniendo esto en cuenta, nos parece poco probable que Agrius sea un actor de amenazas motivado financieramente “.

¡Haz clic para puntuar esta entrada!
(Votos: 0 Promedio: 0)

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *