Ιδρύματα τριτοβάθμιας εκπαίδευσης και εταιρείες τεχνολογίας στο Ισραήλ έχουν βρεθεί στο στόχαστρο καταστροφικών επιθέσεων στον κυβερνοχώρο από Ιρανούς hackers, που ξεκίνησαν τον Ιανουάριο του 2023, με στόχο την ανάπτυξη wiper malware.
Οι νέες επιθέσεις, που έλαβαν χώρα μόλις τον Οκτώβριο, έχουν αποδοθεί σε ιρανική κρατική hacking ομάδα, γνωστή ως Agonizing Serpens (επίσης γνωστή ως Agrius, BlackShadow και Pink Sandstorm).
Σύμφωνα με τη Unit 42 της Palo Alto Networks, στις περισσότερες περιπτώσεις, οι επιθέσεις στοχεύουν στην κλοπή ευαίσθητων δεδομένων, όπως προσωπικές πληροφορίες (PII) και πνευματική ιδιοκτησία. Μετά την κλοπή των δεδομένων, οι επιτιθέμενοι αναπτύσσουν wiper malware για να καλύψουν τα ίχνη τους και να διαγράψουν δεδομένα, καθιστώντας τα μολυσμένα συστήματα άχρηστα.
Δείτε επίσης: Το BiBi Linux Wiper Malware χρησιμοποιείται σε επιθέσεις κατά των Ισραηλινών
Σύμφωνα με την εταιρεία, χρησιμοποιήθηκαν τρία διαφορετικά wiper malware: MultiLayer, PartialWasher και BFG Agonizer. Επίσης, χρησιμοποιείται ένα custom εργαλείο για την εξαγωγή πληροφοριών από database servers, γνωστό ως Sqlextractor.
Η ιρανική ομάδα Agonizing Serpens δραστηριοποιείται τουλάχιστον από τον Δεκέμβριο του 2020 και έχει συνδεθεί με επιθέσεις με wipers που στοχεύουν ισραηλινές οντότητες. Επιπλέον, τον Μάιο, η Check Point παρουσίασε λεπτομερώς τη χρήση ενός στελέχους ransomware που ονομάζεται Moneybird, το οποίο χρησιμοποιήθηκε από τους Ιρανούς hackers εναντίον του Ισραήλ.
Το πιο πρόσφατο σύνολο επιθέσεων συνδέεται με τη μόλυνση ευάλωτων web servers που εκτίθενται στο Διαδίκτυο και τη χρήση τους ως οδούς αρχικής πρόσβασης για την ανάπτυξη web shells, τη διεξαγωγή reconnaissance σε δίκτυα των θυμάτων και την κλοπή credentials χρηστών με δικαιώματα διαχειριστή.
Μετά την εξαγωγή δεδομένων ακολουθεί μια φάση lateral movement, με τη χρήση ενός συνδυασμού δημόσιων και custom εργαλείων όπως το Sqlextractor, το WinSCP και το PuTTY. Στο τέλος, παραδίδεται το wiper malware.
Δείτε επίσης: Οι Ιρανοί hackers MuddyWater στοχεύουν το Ισραήλ μέσω spear-phishing
Όπως είπαμε παραπάνω, χρησιμοποιούνται τρεις τύποι wiper malware:
MultiLayer: ένα .NET malware που απαριθμεί αρχεία είτε για διαγραφή είτε για αλλοίωσή τους με τυχαία δεδομένα, για να αντισταθεί στις προσπάθειες ανάκτησης και να καταστήσει το σύστημα άχρηστο.
PartialWasher: ένα C++-based malware για σάρωση μονάδων δίσκου και διαγραφή καθορισμένων φακέλων και υποφακέλων.
BFG Agonizer: ένα κακόβουλο λογισμικό που βασίζεται σε μεγάλο βαθμό σε open-source project που ονομάζεται CRYLINE-v5.0.
H σύνδεση των malware με τους Ιρανούς hackers Agonizing Serpens προέρχεται από πολλαπλές επικαλύψεις κώδικα με άλλα malware (π.χ. Apostle, IPsec Helper και Fantasy), τα οποία χρησιμοποιούνταν στο παρελθόν από την ομάδα.
Δείτε επίσης: Crypto donation scams εμφανίζονται εν μέσω πολέμου Ισραήλ-Χαμάς
“Φαίνεται ότι η ομάδα APT Agonizing Serpens αναβάθμισε πρόσφατα τις δυνατότητές της και επενδύει χρόνο και πόρους για να προσπαθήσει να παρακάμψει το EDR και άλλα μέτρα ασφαλείας“, ανέφεραν οι ερευνητές της Unit 42.
“Για να το κάνουν αυτό, κάνουν εναλλαγές στη χρήση διαφορετικών γνωστών proof-of-concept (PoC) και pentesting εργαλείων, καθώς και custom εργαλείων“.
Προστασία έναντι wiper malware
Οι καλύτερες πρακτικές για την πρόληψη και ανάκτηση από επιθέσεις με κακόβουλο λογισμικό wiper περιλαμβάνουν την εφαρμογή ενημερώσεων ασφαλείας και προγραμμάτων προστασίας. Είναι σημαντικό να διατηρείτε το λειτουργικό σύστημα και τις εφαρμογές σας ενημερωμένες με τα τελευταία security updates. Επίσης, πρέπει να εγκαταστήσετε ένα αξιόπιστο λογισμικό antivirus και firewall για να αποτρέψετε την είσοδο κακόβουλου λογισμικού στο σύστημά σας.
Επιπλέον, η εκπαίδευση των χρηστών είναι ζωτικής σημασίας. Οι χρήστες και οι υπάλληλοι οργανισμών πρέπει να είναι ενημερωμένοι για τις απειλές και τις πρακτικές ασφαλείας, όπως η αποφυγή κλικ σε ύποπτα συνημμένα αρχεία ή συνδέσμους και η προσοχή στις ανεπιθύμητες ηλεκτρονικές αλληλογραφίες. Επιπλέον, η τακτική δημιουργία αντιγράφων ασφαλείας των σημαντικών δεδομένων είναι απαραίτητη για την αποκατάσταση μετά από μια επίθεση.
Σε περίπτωση που πέσετε θύμα μιας επίθεσης με wiper malware, η προτεραιότητά σας πρέπει είναι να απομονώσετε το μολυσμένο σύστημα από το υπόλοιπο δίκτυο, προκειμένου να αποτραπεί η εξάπλωση του κακόβουλου λογισμικού. Στη συνέχεια, πρέπει να απενεργοποιήσετε τη σύνδεση στο διαδίκτυο και να επικοινωνήσετε με ειδικευμένους επαγγελματίες ασφάλειας για να σας βοηθήσουν στην ανάκτηση των δεδομένων και την αποκατάσταση του συστήματος.
Πηγή: thehackernews.com
