Cybereason, compañía especializada en protección contra ataques especializada en XDR, ha anunciado el descubrimiento de nuevas variantes de malware no identificadasanteriormente, que se están utilizando en dos operaciones de ciberespionaje patrocinadas por el Estado iraní y dirigidas a una amplia gama de organizaciones en múltiples regiones del mundo. Una de las operaciones maliciosas despliega ransomware contra objetivos después de la exfiltración de datos con el fin de infligir daños a los sistemas, así como para obstaculizar las investigaciones forenses, y la otra muestra una conexión con el ransomware Memento recientemente documentado. La investigación de Cybereason sigue de cerca el anuncio del Comando Cibernético de la Fuerza de Misión Cibernética Nacional (CNMF) de Estados Unidos sobre el abuso de múltiples herramientas de código abierto por parte de los actores de la amenaza iraní. Los investigadores de Cybereason han observado un abuso similar de herramientas de código abierto en las dos campañas de ataque iraníes investigadas.
Informe sobre el troyano de acceso remoto (RAT) StrifeWater
Los investigadores de Cybereason han descubierto un troyano de acceso remoto (RAT) no documentado anteriormente, denominado StrifeWater, que la empresa atribuye al agente de amenazas iraní Moses Staff. Se ha observado que esta amenaza avanza persistente (APT) se dirige a organizaciones de Estados Unidos, Israel, India, Alemania, Italia, Emiratos Árabes Unidos, Chile y Turquía con el fin de promover los objetivos geopolíticos del régimen iraní. Tras infiltrarse en una organización y extraer datos sensibles, los atacantes despliegan un ransomware destructivo para causar interrupciones operativas y dificultar la tarea de investigación forense.
Por otro lado, Cybereason también ha descubierto un nuevo conjunto de herramientas desarrolladas por el grupo Phosphorus (alias Charming Kitten o APT35) que incluye un novedoso programa maligno de tipo backdoor basado en PowerShell apodado PowerLess. Cybereason también ha observado una dirección IP utilizada en los ataques que ha sido identificada previamente como parte del comando y control (C2) del recientemente documentado ransomware Memento. Phosphorus es conocido por atacar a organizaciones de investigación médica y académica, activistas de derechos humanos, al sector de los medios de comunicación, por explotar vulnerabilidades conocidas de Microsoft Exchange Server y por intentar interferir en las elecciones estadounidenses.
“Estas campañas de ataques ponen de manifiesto la difusa línea que hay entre los actores de las amenazas del Estado-nación y la ciberdelincuencia, ya que las bandas de ransomware emplean a menudo tácticas similares a las de las amenazas avanzadas persistentes (APT) para infiltrarse lo más posible en una red objetivo sin ser detectadas, y las APT aprovechan las herramientas de la ciberdelincuencia como el ransomware para distraer, destruir y, en última instancia, cubrir sus huellas”, afirma el cofundador y CEO de Cybereason, Lior Div. “Para los defensores, ya no hay una distinción significativa entre los adversarios del Estado-nación y las sofisticadas operaciones cibercriminales. Por eso es crucial para nosotros, como defensores, mejorar colectivamente nuestras capacidades de detección y prevención si queremos dar respuesta a estas amenazas en constante evolución.”
