Iraanse hackers gebruiken BitLocker en DiskCryptor bij ransomware-aanvallen

Iranian Hackers Leveraging BitLocker and DiskCryptor in Ransomware Attacks Nachrichten

Een ransomware-groep met een Iraanse operationele connectie is in verband gebracht met een reeks malware-aanvallen die bestanden versleutelen, gericht op organisaties in Israël, de VS, Europa en Australië.

Cyberbeveiligingsbedrijf Secureworks schreef de inbraken toe aan een bedreigingsactor die het volgt onder de naam Cobalt Mirage, waarvan het zei dat het verband houdt met een Iraanse hackploeg genaamd Cobalt Illusion (ook bekend als APT35, Charming Kitten, Newscaster of Phosphorus).

„Elementen van Cobalt Mirage-activiteit zijn gemeld als Fosfor en TunnelVision,“ Secureworks Counter Threat Unit (CTU) zei in een rapport gedeeld met The Hacker News.

De dreigingsactor zou twee verschillende soorten inbraken hebben uitgevoerd, waarvan er één betrekking heeft op opportunistische ransomware-aanvallen waarbij gebruik wordt gemaakt van legitieme tools zoals BitLocker en DiskCryptor voor financieel gewin.

De tweede reeks aanvallen is meer gericht en wordt uitgevoerd met als primaire doel het beveiligen van toegang en het verzamelen van informatie, terwijl in bepaalde gevallen ook ransomware wordt ingezet.

Initiële toegangsroutes worden vergemakkelijkt door het scannen van op internet gerichte servers die kwetsbaar zijn voor veel gepubliceerde fouten in Fortinet-apparaten en Microsoft Exchange Servers om webshells te laten vallen en ze te gebruiken als een kanaal om lateraal te bewegen en de ransomware te activeren.

De exacte manier waarop de coderingsfunctie van het volledige volume wordt geactiveerd, blijft echter onbekend, zei Secureworks, en beschrijft een aanval in januari 2022 tegen een niet nader genoemde Amerikaanse filantropische organisatie.

Een andere inbraak gericht op een Amerikaans lokaal overheidsnetwerk medio maart 2022 zou Log4Shell-fouten in de VMware Horizon-infrastructuur van het doelwit hebben gebruikt om verkennings- en netwerkscanactiviteiten uit te voeren.

„De incidenten in januari en maart typeren de verschillende aanvalsstijlen van Cobalt Mirage“, concluderen de onderzoekers.

„Hoewel de dreigingsactoren een redelijk niveau van succes lijken te hebben gehad met het verkrijgen van initiële toegang tot een breed scala aan doelen, lijkt hun vermogen om van die toegang te profiteren voor financieel gewin of het verzamelen van inlichtingen beperkt.“

David
Rate author
Hackarizona