Un attacco wiper mascherato da ransomware contro bersagli israeliani

Giu 01, 2021 Massimiliano Monti Attacchi, News, Scenario 0

Un attacco hacker che sembra un ransomware lanciato per lucro che in realtà cancella irreversibilmente i dati di bersagli strategici. Sembra la trama di un film, ma sta succedendo in Israele.

Una storia che ha il sapore di uno Spy Movie hollywoodiano, ma che è la realtà all’ordine del giorno nel cyber warfare, il ramo delle scienze belliche che ha a che fare con il mondo IT. In questo caso sono stati i Sentinel Labs a portare alla luce una serie di attività sospette.

Portate avanti da un nuovo gruppo chiamato Agrius, si tratta di attacchi rivolti verso bersagli israeliani, che però hanno una peculiarità. All’apparenza si presentano come “semplici” ransomware, con tanto di richiesta di riscatto e tutte le attività a corollario. Solo che dietro questa facciata si celano attacchi Wiper, finalizzati a cancellare in modo irreversibile i dati del bersaglio.

Una tecnica che si è evoluta nel tempo: le funzionalità ransomware sono state introdotte nel malware di proprietà del gruppo, chiamato Apostle solo nel corso del 2020, secondo quanto riportano i laboratori si SentinelOne che hanno monitorato le attività di Agrius per più di un anno, con l’aggiunta di un secondo tool, Deadwood o Detbosit, apparentemente collegato, anche se senza reali conferme, a un gruppo iraniano.

Sempre secondo l’analisi, sotto la superficie di un apparente ransomware si nascondono diverse varianti di wiper. L’attacco viene intenzionalmente mascherato come una tipica attività lucrativa, mentre i dati vengono eliminati. Un comportamento anomalo per i gruppi che si muovono per denaro, il che porta gli analisti a pensare che si tratti di gruppi sponsorizzati da qualche governo.

Il modus operandi di Agrius

Gli analisti sono riusciti anche a ricostruire uno schema di comportamento che il gruppo usa nelle sue attività. Di solito il punto di ingresso sono SQL injection lanciate contro applicazioni web sfruttando gli 1-day exploit, in pratica le vulnerabilità appena scoperte che non sono ancora state risolte.

L’accesso ai sistemi della vittima avviene attraverso servizi di VPN anonime, molto spesso ProtonVPN, che Agrius usa per installare una web shell, uno script in grado di mantenere l’accesso e il controllo attivi. Quasi sempre si tratta di varianti di ASPXSpy, un malware Open Source.

La shell viene usata per raccogliere credenziali ed effettuare movimenti laterali nel sistema attraverso il solito protocollo RDP (Remote Desktop Protocol) di Windows, installare nuove Web Shell, ottenere credenziali più elevate e così via.

Nell’analisi di Sentinel Labs, le shell installate in questo modo provenivano principalmente dall’Iran, ma anche dal Pakistan, dall’Arabia Saudita e dagli Emirati Arabi Uniti. Un comportamento che apparentemente fa pensare ad attività di origine iraniana.

Attraverso le Shell, il gruppo utilizza un malware chiamato IPsec Helper per controllare la disponibilità di una connessione, connettersi a server Microsoft predeterminati e scaricare il malware Apostle, la vera arma dell’operazione. Che, come abbiamo visto, è stato progettato per sembrare un ransomware ma distruggere i dati dei bersagli.

Oltre ai bersagli israeliani, Agrius avrebbe attaccato anche infrastrutture statali negli Emirati Arabi Uniti, già note per essere state oggetto delle attenzioni da gruppi sospettati di essere iraniani.

Condividi l'articolo