Iran zmienia strategię? Cyberataki motywowane zyskiem finansowym

25 sierpnia 2020, 09:24
eMjPxKqHDN458qiENhAujhX9zzpzIn3A
Fot. en.kremlin.ru

Irańscy hakerzy odpowiadają za nieznaną do tej pory kampanię ransomware, której głównym celem jest generowanie zysków finansowych. Działalność grupy wskazuje, że Teheran przedefiniował swoje zamiary i coraz bardziej koncentruje się na pozyskiwaniu funduszy za pomocą cyberataków. 

Specjaliści firmy Group-IB, zajmującej się cyberbezpieczeństwem, odkryli niezidentyfikowaną wcześniej kampanię cyberprzestępczą motywowaną finansowo. Za cyberataki odpowiadają irańscy hakerzy, którzy w ramach operacji wykorzystywali oprogramowanie ransomware „Dharma” – czytamy w oficjalnym komunikacie Group-IB.

Głównym celem złośliwej kampanii były firmy z Rosji, Japonii, Chin oraz Indii. Wszystkie naruszone podmioty miały niski poziom cyberbezpieczeństwa, co ułatwiło hakerom działanie. „Hakerzy zazwyczaj żądali okupu w wysokości 1-5 bitcoinów (od 43 166 do 215 833 zł – przyp. red.)” – wskazali specjaliści. Nowo odkryta grupa hakerów świadczy o tym, że Iran, który od lat znany jest jako kolebka sponsorowanych przez państwo grup APT, teraz również wykorzystuje cyberprzestępców z myślą o generowaniu środków finansowych.

Eksperci Group-IB w ostatnim czasie zaobserwowali wzmożoną aktywność związaną z dystrybucją ransomware Dharma. Wirus, znany również jako Crysis, jest rozpowszechniany w sieci od co najmniej 2016 roku. Obecnie stał się podstawowym narzędziem irańskich hakerów.

Na ten moment nieznana jest dokładna liczba ofiar złośliwej kampanii. Analiza pozwoliła jedynie na odkrycie geograficznego położenia poszkodowanych podmiotów. Badania umożliwiły jednak stwierdzenie, że za cyberataki odpowiadają irańscy hakerzy, o czym świadczy między innymi język perski, jakim się posługują.

Zdaniem specjalistów narzędzia wykorzystywane podczas operacji są „daleko w tyle” pod względem poziomu zaawansowania w odniesieniu do największych ugrupowań APT Teheranu. Taki stan rzeczy sprawia, że najprawdopodobniej mamy do czynienia z początkującymi hakerami, którzy dopiero nabywają doświadczenie. Potwierdza to także fakt, że cyberprzestępcy nie mieli jasnego planu, co zrobić dalej po skutecznym zainfekowaniu sieci złośliwym oprogramowaniem Dharma.

„Zaskakujące jest to, że Dharma trafiła w ręce irańskich dzieciaków piszących na klawiaturze, którzy używali jej do celów finansowych, ponieważ Iran tradycyjnie był krajem (…) zajmującym się szpiegostwem i sabotażem” – podkreślił Oleg Skulkin, specjalista Group-IB.

KomentarzeLiczba komentarzy: 0
No results found.
Tweets CyberDefence24