Ataques de motivação financeira são executados por atacantes novatos no Irã

A empresa de cibersegurança Group-IB, sediada em Cingapura, detectou ataques com motivação financeira realizados por criminosos no Irã em junho. Os invasores, que foram classificados pela empresa como novatos, usaram o ransomware Dharma e uma mistura de ferramentas publicamente disponíveis visando empresas na Rússia, Japão, China e Índia. Todas as organizações afetadas tinham hosts com RDP (Remote Desktop Protocol) voltado para a Internet e credenciais fracas. Os hackers normalmente exigiam um resgate entre 1 e 5 bitcoins. 

Os pesquisadores observaram recentemente um aumento nas atividades em torno da distribuição de ransomware Dharma, que também é conhecido como Crysis e foi distribuído sob um modelo de ransomware-as-a-service (RaaS) pelo menos desde 2016. Seu código-fonte apareceu à venda em março de 2020, tornando-o disponível para um público mais amplo. Os hackers novatos supostamente estavam por trás de uma nova onda de distribuição de Dharma na Rússia e, embora o número exato de vítimas seja desconhecido, foi estabelecida a geografia das campanhas e o conjunto de ferramentas, que estão muito aquém do nível de sofisticação das grandes ameaças persistentes avançadas (APTs) iranianas.

Os operadores do ataque utilizaram softwares populares para executar alguns passos do ataque, como entrar no sistema com força bruta e verificar a validade das credenciais obtidas em outros hosts acessíveis na rede; tentar elevar os privilégios; desabilitar o software antivírus integrado; etc. Algumas ferramentas foram baixadas pelos atacantes dos canais do Telegram em língua persa quando eles já estavam presentes na rede. Depois que as atividades de reconhecimento de rede foram concluídas, as informações coletadas foram utilizadas por eles para se moverem lateralmente pela rede usando o protocolo RDP. O objetivo final era derrubar e executar uma variante do ransomware Dharma.