L’attore di minaccia iraniano Agrius, conosciuto anche come Pink Sandstorm (precedentemente Americium), sta utilizzando un nuovo ceppo di ransomware denominato Moneybird per colpire organizzazioni in Israele. Agrius ha una storia di attacchi distruttivi volti a cancellare dati diretti a Israele, mascherati da infezioni da ransomware.
Il legame di Agrius con il Ministero dell’Intelligence e della Sicurezza dell’Iran
Microsoft ha attribuito Agrius al Ministero dell’Intelligence e della Sicurezza (MOIS) dell’Iran, che opera anche MuddyWater. È noto per essere attivo almeno dal dicembre 2020. A dicembre 2022, al gruppo di hacker è stato attribuito un insieme di tentativi di intrusioni disruptive dirette contro le industrie dei diamanti in Sud Africa, Israele e Hong Kong. Questi attacchi hanno coinvolto l’uso di un wiper basato su .NET trasformato in ransomware chiamato Apostle e il suo successore conosciuto come Fantasy. A differenza di Apostle, Moneybird è programmato in C++.
Moneybird ransomware: un nuovo livello di minaccia
“L’uso di un nuovo ransomware, scritto in C++, è degno di nota, poiché dimostra le crescenti capacità del gruppo e il continuo sforzo nello sviluppo di nuovi strumenti,” affermano i ricercatori di Check Point Marc Salinas Fernandez e Jiri Vinopal.
La sequenza di infezione inizia con l’exploit di vulnerabilità all’interno di server web esposti su internet, che portano al deployment di una web shell conosciuta come ASPXSpy. In seguito, la web shell viene utilizzata come condotto per consegnare strumenti noti al pubblico al fine di eseguire il riconoscimento dell’ambiente della vittima, muoversi lateralmente, raccogliere credenziali ed esfiltrare dati.
Inoltre, sul host compromesso viene eseguito il ransomware Moneybird, progettato per criptare i file sensibili nella cartella “F:\User Shares” e lasciare un messaggio di riscatto che invita l’azienda a contattarli entro 24 ore o rischia di vedere le loro informazioni rubate diffuse.
“Nonostante queste nuove ‘coperture’, il gruppo continua a seguire il suo solito comportamento e utilizza strumenti e tecniche simili a prima,” hanno affermato i ricercatori.