Para algunos piratas informáticos, la destrucción de datos digitales es más importante que el robo o el chantaje. El grupo APT Agrius ha llevado a cabo una serie de ciberataques utilizando el malware Fantasy Wiper, según expertos de ESET.
Para los mayoristas de diamantes, las demandas de robo, fraude y rescate son parte de sus amenazas comerciales diarias. Sin embargo, el hecho de que los ciberdelincuentes solo pretendan destruir información digital y no quieran obtener ningún beneficio financiero sorprendió a los comerciantes de gemas afectados en Israel, así como a los expertos en seguridad de ESET. Pudieron demostrar que el grupo APT Agrius había llevado a cabo una serie de ataques cibernéticos utilizando el malware "Fantasy", que también afectó a una empresa israelí de recursos humanos y una empresa de TI. También se observaron víctimas en Sudáfrica y Hong Kong.
Wiper está fuera de la trituración de datos
Los atacantes, que están cerca de Irán, usaron Fantasy, un llamado limpiador, que actúa de manera puramente destructiva y no busca extorsionar dinero como ransomware. Pero para poder entrar en las redes de las víctimas, Agrius llevó a cabo un ataque a la cadena de suministro. Se abusó de un paquete de software israelí que es muy común en la industria del diamante.
En febrero de 2022, Agrius usó herramientas de recopilación de credenciales con una organización de la industria de diamantes de Sudáfrica. Los expertos ven esto como una preparación para la campaña posterior. Agrius lanzó el ataque de extinción real en marzo de 2022 utilizando Fantasy y su herramienta de distribución "Sandals" primero en la víctima en Sudáfrica, luego en otras en Israel y finalmente en Hong Kong.
Fantasy Wiper borró todos los archivos del disco duro o todos los archivos con una de las 682 extensiones predefinidas, incluidas las extensiones de nombre de archivo para las aplicaciones de Microsoft 365 (como Microsoft Word, Microsoft PowerPoint y Microsoft Excel), así como para video, audio y video comunes. formatos de archivo de imagen. Aunque el malware tomó medidas para dificultar la recuperación y el análisis forense, es muy probable que la recuperación de la unidad del sistema operativo Windows fuera posible. Se observó que las víctimas volvían a funcionar en cuestión de horas.
El grupo APT Agrius, afiliado a Irán, se enfoca en Israel
Agrius es un grupo más nuevo afiliado a Irán que ha estado atacando objetivos en Israel y los Emiratos Árabes Unidos desde 2020. El grupo originalmente desplegó el limpiaparabrisas "Apóstol" disfrazado de supuesto ransomware. De hecho, más tarde se convirtió en ransomware completo. El grupo APT explota vulnerabilidades conocidas en aplicaciones web para instalar shells web. Luego realiza un reconocimiento interno antes de que el limpiador se extienda y use sus habilidades malévolas.
Desde su descubrimiento en 2021, Agrius se ha centrado únicamente en operaciones destructivas. Fantasy es similar al anterior Wiper Apostle en muchos aspectos. Solo hay unos pocos cambios pequeños entre muchas de las características originales en la implementación de Apostle y Fantasy.
Más en ESET.com
Acerca de ESET ESET es una empresa europea con sede en Bratislava (Eslovaquia). Desde 1987, ESET ha estado desarrollando un software de seguridad galardonado que ya ha ayudado a más de 100 millones de usuarios a disfrutar de tecnologías seguras. La amplia cartera de productos de seguridad cubre todas las plataformas principales y ofrece a empresas y consumidores de todo el mundo el equilibrio perfecto entre rendimiento y protección proactiva. La empresa tiene una red de ventas global en más de 180 países y oficinas en Jena, San Diego, Singapur y Buenos Aires. Para obtener más información, visite www.eset.de o síganos en LinkedIn, Facebook y Twitter.