Hackerii sponsorizați de guvernul iranian au vizat o „gamă largă de victime” în interiorul Statelor Unite, inclusiv prin desfășurarea de atacuri de tip ransomware, potrivit unui aviz emis miercuri de oficiali americani, britanici și australieni.
Hackeri sponsorizați de guvernul iranian țintesc activ domenii esențiale din SUA, precum transporturile și sănătatea, folosind inclusiv atacuri de tip ransomware, au avertizat agențiile americane, britanice și australiene de specialitate.
Se întâmplă rar ca guvernul SUA să acuze Iranul de atacuri de tip ransomware, acest tip de atac cibernetic fiind folosit mai frecvent de infractori cibernetici individuali și mai puțin frecvent de state.
Conform rapoartelor, hackerii iranieni exploatează breșe de securitate din programe dezvoltate de Microsoft și Fortinet pentru a accesa sisteme și a le bloca cu ajutorul programelor ransomware.
Aceste programe blochează calculatoare și decriptează conținut important, iar hackerii cer apoi sume mari de bani pentru a le debloca și a returna conținutul
Informațiile vin de la FBI, Agenția de Securitate și Infrastructură Cibenetică americană, Centrul de Securitate Cibernetică din Australia, și Centrul Național de Securitate Cibernetică britanic.
De luni de zile, cercetători din mediul privat au avertizat detaliat cu privire la legăturile pe care Iranul le are cu atacuri de tip ransomware, avertizând că se încearcă perturbarea operațiunilor de afaceri și intimidarea victimelor mai degrabă decât obținerea de sume de bani.
Iranul a exploatat vulnerabilitățile computerelor expuse de hackeri înainte ca acestea să poată fi remediate și vizate entități din sectorul transporturilor, asistenței medicale și sănătății publice.
Atacatorii au folosit hack-ul inițial pentru operațiuni suplimentare, cum ar fi exfiltrarea datelor, ransomware și extorcare, conform avizului. Grupul a folosit aceeași vulnerabilitate Microsoft Exchange în Australia, spun oficialii.
Cum acționează hackerii iranieni
Microsoft a spus că unul dintre grupuri petrece mult timp și energie încercând să construiască relații cu victimele vizate înainte de a le ataca cu campanii de spear-phishing. Grupul folosește invitații false la conferințe sau solicitări de interviuri și se dau drept oficialii de la grupurile de reflecție din Washington, DC, a spus Microsoft.
Odată ce relația este creată și este trimisă o legătură rău intenționată, iranienii sunt foarte insistenți să încerce să-și determine victimele să dea clic, a spus James Elliott, membru al Centrului de informații despre amenințări Microsoft.
„Acești băieți sunt cea mai mare durere de cap. La fiecare două ore, ei trimit un e-mail”, a spus Elliott la conferința de securitate cibernetică Cyberwarcon de marți.
La începutul acestui an, Facebook a anunțat că a găsit hackeri iranieni care folosesc „personaje online false sofisticate” pentru a construi încredere faţă de ținte și pentru a-i determina să facă clic pe linkuri rău intenționate. Cercetătorii de la firma de securitate cibernetică Crowdstrike au spus că ei şi au început să vadă acest tip de activitate iraniană anul trecut, potrivit CNN