Per alcuni hacker, la distruzione dei dati digitali è più importante del furto o del ricatto. Il gruppo APT Agrius ha effettuato una serie di attacchi informatici utilizzando il malware Fantasy wiper, secondo gli esperti ESET.
Per i grossisti di diamanti, furti, frodi e richieste di riscatto fanno parte delle loro minacce aziendali quotidiane. Tuttavia, il fatto che i criminali informatici vogliano solo distruggere le informazioni digitali e non vogliano realizzare alcun profitto finanziario ha sorpreso i rivenditori di gemme interessati in Israele e gli esperti di sicurezza di ESET. Sono stati in grado di dimostrare che il gruppo APT Agrius aveva effettuato una serie di attacchi informatici utilizzando il malware "Fantasy", che ha colpito anche un'azienda israeliana di risorse umane e un'azienda informatica. Vittime sono state osservate anche in Sud Africa e Hong Kong.
Wiper è pronto per la distruzione dei dati
Gli aggressori, che sono vicini all'Iran, hanno utilizzato Fantasy, un cosiddetto tergicristallo, che agisce in modo puramente distruttivo e non ha intenzione di estorcere denaro come un ransomware. Ma per poter entrare nelle reti delle vittime, Agrius ha effettuato un attacco alla catena di approvvigionamento. È stato abusato di una suite software israeliana molto comune nell'industria dei diamanti.
Nel febbraio 2022, Agrius ha utilizzato strumenti di raccolta delle credenziali con un'organizzazione dell'industria dei diamanti sudafricana. Gli esperti vedono questo come una preparazione per la campagna successiva. Agrius ha lanciato l'attacco estinguente vero e proprio nel marzo 2022 utilizzando Fantasy e il suo strumento di distribuzione "Sandals" prima sulla vittima in Sud Africa, poi su altri in Israele e infine a Hong Kong.
Fantasy Wiper ha cancellato tutti i file sul disco rigido o tutti i file con una delle 682 estensioni predefinite, comprese le estensioni dei nomi file per le applicazioni Microsoft 365 (come Microsoft Word, Microsoft PowerPoint e Microsoft Excel), nonché per video, audio e formati di file immagine. Anche se il malware ha adottato misure per rendere più difficile il ripristino e l'analisi forense, è molto probabile che il ripristino dell'unità del sistema operativo Windows fosse possibile. È stato osservato che le vittime sono tornate operative entro poche ore.
L'APT Group Agrius, affiliato all'Iran, si concentra su Israele
Agrius è un nuovo gruppo affiliato all'Iran che dal 2020 attacca obiettivi in Israele e negli Emirati Arabi Uniti. Il gruppo originariamente ha distribuito il tergicristallo "Apostle" camuffato da presunto ransomware. In effetti, in seguito si è evoluto in un vero e proprio ransomware. Il gruppo APT sfrutta vulnerabilità note nelle applicazioni web per installare web shell. Quindi conduce una ricognizione interna prima che il tergicristallo si diffonda e usi le sue abilità malevole.
Dalla sua scoperta nel 2021, Agrius si è concentrato esclusivamente su operazioni distruttive. La fantasia è simile al precedente Wiper Apostle in molti modi. Ci sono solo alcuni piccoli cambiamenti tra molte delle caratteristiche originali nell'implementazione di Apostle e Fantasy.
Altro su ESET.com
Informazioni su ESET ESET è una società europea con sede a Bratislava (Slovacchia). Dal 1987, ESET sviluppa software di sicurezza pluripremiati che hanno già aiutato oltre 100 milioni di utenti a usufruire di tecnologie sicure. L'ampio portafoglio di prodotti per la sicurezza copre tutte le principali piattaforme e offre alle aziende e ai consumatori di tutto il mondo il perfetto equilibrio tra prestazioni e protezione proattiva. L'azienda ha una rete di vendita globale in oltre 180 paesi e uffici a Jena, San Diego, Singapore e Buenos Aires. Per maggiori informazioni visita www.eset.de o seguici su LinkedIn, Facebook e Twitter.