研究人员揭秘伊朗国家赞助勒索病毒行动

作者:widudadaB | 国际 2021/05/04 19:50:17 16
文章来源:https://thehackernews.com/2021/05/researchers-uncover-iranian-state.html


根据最新分析,伊朗通过一家总部位于该国的承包公司与另一家国家赞助的勒索软件业务有关。

网络安全公司Flashpoint在其调查结果中表示,伊朗伊斯兰革命卫队(IRGC)正在通过一家名为“Emen Net Pasargard”(ENP)的伊朗承包公司开展国家赞助的勒索软件活动,该调查总结了3月19日至4月1日期间一个名为Read My Lips或Lab Dookhtegan的匿名实体通过其电报频道泄露的三份文件。

据说,这项被称为“Project Signal”的倡议始于2020年7月下旬至2020年9月初,ENP的内部研究机构名为“Studies Center”,列出了一份未指明的目标网站。

Flashpoint 验证的第二张电子表格明确阐述了该项目的财务动机,计划在 2020 年末启动勒索软件业务,为期 4 天,时间为 10 月 18 日至 21 日。另一份文件概述了工作流程,包括从勒索软件受害者那里接收比特币付款和解密锁定数据的步骤。

目前还不清楚这些袭击是否按计划进行,以及针对谁。

研究人员说,ENP代表伊朗情报部门运作,为伊朗伊斯兰革命卫队(IRGC)、IRGC圣城部队(IRGC-QF)和伊朗情报和安全部(MOIS)提供网络能力和支持。


尽管该项目的主题是勒索软件,但研究人员怀疑此举可能是一种“诡计技术”,以模仿其他出于财务动机的网络犯罪勒索软件团体的策略、技术和程序(TTP),从而使归因更难,更好地与威胁场景融为一体。

有趣的是,Signal项目的推出也与另一场名为“Pay2Key”的伊朗勒索软件活动相吻合,该运动在11月和12月诱捕了数十家以色列公司。2020 年。总部位于特拉维夫的网络安全公司ClearSky将这一波袭击归咎于一个名为福克斯小猫的团体。由于缺乏证据,目前还不清楚这两个运动之间可能存在什么联系。

这不是杜克特甘实验室第一次倾销与伊朗恶意网络活动有关的关键信息。神秘人物或团体以与影子经纪人呼应的风格,之前泄露了一个名为APT34或OilRig的伊朗黑客组织的秘密,包括发布对手的黑客工具库,以及关于66个受害者组织的信息,并破坏伊朗政府情报人员的真实身份。

伊朗第二次勒索软件行动的消息也来自一个由私营部门的政府和科技公司组成的联盟,称为勒索软件特别工作组,分享了一份81页的报告,其中包括48项检测和阻止勒索软件攻击的建议清单,此外还帮助组织更有效地准备和应对此类入侵。​​​​​​​

指导单位
广东省公安厅网络警察总队 | 广东省信息安全等级保护协调小组办公室