Μία ιρανική APT hacking ομάδα με την ονομασία “Fox Kitten” έχει συνδεθεί με το Pay2Key ransomware, το οποίο πρόσφατα άρχισε να στοχεύει οργανισμούς στο Ισραήλ και τη Βραζιλία, όπως αναφέρει σε έκθεσή της η εταιρεία threat intelligence “ClearSky”.
Σύμφωνα με την έκθεση που δημοσιεύτηκε στις 17 Δεκεμβρίου, αυτή η εκστρατεία είναι μέρος της συνεχιζόμενης αντιπαλότητας μεταξύ Ισραήλ και Ιράν, με το πιο πρόσφατο κύμα επιθέσεων να προκαλεί σημαντική ζημιά σε ορισμένες από τις εταιρείες που επηρεάζονται.
Η hacking ομάδα “Fox Kitten” που υποστηρίζεται από το Ιράν (που έχει λάβει την κωδική ονομασία Parisite από την ICS εταιρεία κυβερνοασφάλειας “Dragos”) δραστηριοποιείται τουλάχιστον από το 2017 και είναι γνωστή για την ενορχήστρωση και συμμετοχή σε εκστρατείες online κατασκοπείας και κλοπής δεδομένων.
Η Fox Kitten παρέχει επίσης πρόσβαση σε παραβιασμένα εταιρικά δίκτυα, σε μια άλλη ιρανική hacking ομάδα, με την ονομασία “APT33”, που είναι επίσης γνωστή ως Elfin και Magnallium.
Το Pay2Key είναι μια σχετικά νέα ransomware επιχείρηση που έχει στοχεύσει ισραηλινούς και βραζιλιάνικους οργανισμούς τον τελευταίο μήνα. Ξεκινώντας από τον Οκτώβριο του 2020, η Fox Kitten χρησιμοποιεί στις επιθέσεις της το Pay2Key ransomware για να κλέψει ευαίσθητα κι εμπιστευτικά δεδομένα από βιομηχανίες, και εταιρείες ασφάλειας και logistics. Η ομάδα έχει εκμεταλλευτεί ευπάθειες σε προϊόντα Pulse Secure, Fortinet, F5 και Global Protect VPN ή εκτεθειμένο στο κοινό Remote Desktop Protocol (RDP) για να αποκτήσει πρόσβαση στα δίκτυα των στόχων και να αναπτύξει malware payloads.
Σύμφωνα με την Check Point, η ικανότητα των χειριστών του Pay2Key να διαδώσουν το ransomware σε ολόκληρο το δίκτυο ενός στόχου μέσα σε μία ώρα, υποδηλώνει ότι η hacking ομάδα πιθανότατα είναι μια κρατική επιχείρηση με δεξιότητες βαθμού APT και πόρους.
Επίσης, οι χάκερς της ομάδας δημιούργησαν μια περιστρεφόμενη συσκευή για χρήση ως εξερχόμενου server μεσολάβησης μεταξύ των μολυσμένων συσκευών και των command-and-control servers, που τους βοηθά να αποφύγουν ή να μειώσουν τον κίνδυνο ανίχνευσης προτού κρυπτογραφήσουν όλα τα συστήματα δικτύου στα οποία αποκτούν πρόσβαση.
Οι δείκτες παραβίασης (IoCs) που εντοπίστηκαν κατά τη διάρκεια των επιθέσεων του Pay2Key ransomware, τις συνδέουν επίσης με προηγούμενες καταστροφικές επιθέσεις του Ιράν, σύμφωνα με τις ισραηλινές εταιρείες κυβερνοασφάλειας Profero και Security Joes.
Ένα άλλο στοιχείο που αποδεικνύει ότι η Fox Kitten εστιάζει στην κλοπή πληροφοριών με το Pay2Key, είναι ότι η ομάδα δεν έχει αναπτύξει καν ransomware payloads στα δίκτυα των πρόσφατων θυμάτων, αλλά, αντ ‘αυτού, χρησιμοποίησε μόνο τα κλεμμένα δεδομένα για να εκβιάσει τα θύματα.
Τα ισραηλινά μέσα ενημέρωσης ανέφεραν ότι χάκερς παραβίασαν την ισραηλινή εταιρεία Amital νωρίτερα αυτό το μήνα και, στη συνέχεια, παραβίασαν 40 πελάτες της εταιρείας σε μια supply chain επίθεση.
Επιπλέον, όπως αναφέρει το BleepingComputer, η hacking ομάδα που είναι γνωστή με την ονομασία “BlackShadow” βρίσκεται πίσω από κυβερνοεπίθεση που σημειώθηκε εναντίον της ισραηλινής ασφαλιστικής εταιρείας “Shirbit”, και ζήτησε 1 εκατομμύριο δολάρια για να μη διαρρεύσει τα κλεμμένα δεδομένα.
Ενώ η επίθεση κατά την οποία παραβιάστηκαν τα συστήματα της Shirbit είναι παρόμοια με τις επιθέσεις του Pay2Key, δεν είναι ακόμη γνωστό εάν συνδέονται μεταξύ τους, όπως ανέφερε ο ερευνητής της ClearSky, Ohad Zaidenberg στο BleepingComputer.
Οι Ισραηλινοί ερευνητές κυβερνοασφάλειας εκτιμούν ότι αυτές οι επιθέσεις έχουν κλιμακωθεί λόγω της πρόσφατης δολοφονίας ενός Ιρανού πυρηνικού επιστήμονα.
