Σύμφωνα με τη Microsoft, Ιρανοί hackers που παρακολουθούνται ως DEV-0270 (γνωστοί και ως Nemesis Kitten) κάνουν κατάχρηση του BitLocker Windows feature για την κρυπτογράφηση των συστημάτων των θυμάτων.
Οι ερευνητές της εταιρείας ανακάλυψαν ότι η ομάδα εκμεταλλεύεται γρήγορα ευπάθειες που αποκαλύπτονται και χρησιμοποιεί εκτενώς living-off-the-land binaries (LOLBINs) σε επιθέσεις.
Δείτε επίσης: Πως να εγκαταστήσετε το Session Messenger σε Windows;
Αυτό ευθυγραμμίζεται με τα ευρήματα της Microsoft ότι οι Ιρανοί hackers χρησιμοποιούν το BitLocker, μια δυνατότητα προστασίας δεδομένων που παρέχει κρυπτογράφηση σε συσκευές με Windows 10, Windows 11 ή Windows Server 2016 και νεότερες εκδόσεις.
“Η ομάδα DEV-0270 χρησιμοποιεί εντολές setup.bat για το BitLocker encryption, το οποίο οδηγεί στο να μην λειτουργούν οι κεντρικοί υπολογιστές“, εξήγησαν οι ερευνητές της Microsoft.
“Για workstations, η ομάδα χρησιμοποιεί το DiskCryptor, ένα open-source full disk encryption σύστημα για Windows που επιτρέπει την κρυπτογράφηση ολόκληρου του σκληρού δίσκου μιας συσκευής“.
Η πρόσβαση στο παραβιασμένο δίκτυο επιτυγχάνεται με την καθιέρωση persistence μέσω ενός scheduled task. Στη συνέχεια, η DEV-0270 κλιμακώνει τα προνόμια σε επίπεδο συστήματος, και μπορεί να κάνει πράγματα, όπως απενεργοποίηση του Microsoft Defender Antivirus για αποφυγή εντοπισμού, lateral movement και κρυπτογράφηση αρχείων.
Δείτε επίσης: Η Cisco δεν θα διορθώσει ευπάθεια που βρέθηκε σε routers EoL
Οι Ιρανοί hackers φαίνεται πως ζητούν λύτρα δύο ημέρες μετά την αρχική πρόσβαση. Κατά μέσο όρο ζητούν από τα θύματα να πληρώσουν 8.000 $ για κλειδιά αποκρυπτογράφησης.
Η Microsoft υποστηρίζει ότι οι συγκεκριμένοι Ιρανοί hackers που εκμεταλλεύονται το BitLocker για να κρυπτογραφήσουν Windows συστήματα, είναι μια υποομάδα της ιρανικής ομάδας κυβερνοκατασκοπείας Phosphorus (γνωστή ως Charming Kitten και APT35). Αυτή η ομάδα είναι γνωστή για τη στόχευση και τη συλλογή πληροφοριών από θύματα υψηλού κύρους, που συνδέονται με κυβερνήσεις, ΜΚΟ και αμυντικούς οργανισμούς παγκοσμίως.
Η DEV-0270, ωστόσο, φαίνεται να πραγματοποιεί επιθέσεις “για προσωπικό όφελος“, σύμφωνα με τη Microsoft, αν και δεν είναι απόλυτα σίγουρο ακόμα.
Με βάση κάποια στοιχεία σχετικά με τις υποδομές, η Microsoft λέει ότι η ομάδα λειτουργεί από μια ιρανική εταιρεία γνωστή με δύο ψευδώνυμα: Secnerd (secnerd[.]ir) και Lifeweb (lifeweb[.]it).
“Αυτοί οι οργανισμοί συνδέονται επίσης με την Najee Technology Hooshmand (ناجی تکنولوژی هوشمند), που βρίσκεται στο Karaj του Ιράν“, πρόσθεσε η εταιρεία.
Δείτε επίσης: HP: Διορθώνει bug στο προεγκατεστημένο Support Assistant tool
“Η ομάδα συνήθως στοχεύει τυχαία: σαρώνει το Διαδίκτυο για να βρει ευάλωτους διακομιστές και συσκευές, κάνοντας τους οργανισμούς με ευάλωτους και ανιχνεύσιμους διακομιστές και συσκευές επιρρεπείς σε αυτές τις επιθέσεις“.
Δεδομένου ότι πολλές από τις επιθέσεις της DEV-0270 έχουν εκμεταλλευτεί γνωστές ευπάθειες Exchange (ProxyLogon) ή Fortinet (CVE-2018-13379), οι εταιρείες καλούνται να λάβουν τα απαραίτητα μέτρα (ενημερώσεις κλπ), για να εμποδίσουν τις προσπάθειες εκμετάλλευσης και τις επακόλουθες επιθέσεις ransomware.
Πηγή: www.bleepingcomputer.com