Los piratas informáticos patrocinados por el gobierno iraní están actuando como intermediarios y corredores de acceso inicial a entornos objetivo en nombre de bandas de ransomware con motivación financiera, incluidos grandes nombres como ALPHV/BlackCat, advirtió la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA).
En un aviso publicado esta semana, CISA y sus socios encargados de hacer cumplir la ley, incluido el FBI, revelaron que el grupo iraní de amenazas persistentes avanzadas (APT), rastreado de diversas formas como Pioneer Kitten, UNC757, Parisite, Rubidium y Lemon Sandstorm, ha estado realizando operaciones cibernéticas maliciosas dirigidas en implementar ataques de ransomware para obtener, mantener y desarrollar el acceso a la red.
“Estas operaciones ayudan a los ciberactores maliciosos a colaborar aún más con los actores afiliados para continuar implementando ransomware”, dijo la CISA.
“Este aviso describe la actividad de un grupo específico de ciberactores iraníes que ha llevado a cabo un gran volumen de intentos de intrusión en redes informáticas contra organizaciones estadounidenses desde 2017 y tan recientemente como agosto de 2024. Las organizaciones comprometidas incluyen escuelas, gobiernos municipales, instituciones financieras y entidades financieras con sede en EE. UU. establecimientos de salud”.
El FBI había observado anteriormente que el grupo intentaba monetizar su acceso a organizaciones víctimas en mercados clandestinos, y ahora evalúa que un “porcentaje significativo” de su actividad –al menos en EE.UU.– se centra en vender este acceso a cibernéticos de habla rusa. bandas criminales.
Pero ahora hay evidencia de que esta relación parece ser aún más profunda. De hecho, los federales ahora creen que Pioneer Kitten ha estado “colaborando directamente” con afiliados de ransomware para recibir una parte de los pagos del rescate a cambio de su ayuda.
“Estos actores han colaborado con los afiliados de ransomware NoEscape, RansomHouse y ALPHV (también conocido como BlackCat)”, dijo la CISA.
“La participación de los ciberactores iraníes en estos ataques de ransomware va más allá de proporcionar acceso; Trabajan en estrecha colaboración con afiliados de ransomware para bloquear las redes de las víctimas y elaborar estrategias sobre enfoques para extorsionar a las víctimas.
“El FBI evalúa que estos actores no revelan su ubicación en Irán a sus contactos afiliados de ransomware y son intencionalmente vagos en cuanto a su nacionalidad y origen”.
Frustrando al gatito
Un ataque de ransomware habilitado por Pioneer Kitten generalmente parece comenzar con la explotación de servicios externos remotos en activos conectados a Internet.
En las últimas semanas, se ha observado que la pandilla utiliza Shodan para identificar direcciones IP que albergan Check Point Security Gateways vulnerables a CVE-2024-24919, pero también se sabe que ha explotado CVE-2024-3400 en Palo Alto Networks PAN-OS y GlobalProtect. VPN, así como vulnerabilidades más antiguas en Citrix y F5 BIG-IP. Abordar estos problemas debería ser la prioridad número uno para los equipos de seguridad de las organizaciones en riesgo.
Una vez superado este primer obstáculo, el modus operandi del grupo es, en muchos aspectos, bastante estándar: busca promover sus objetivos capturando credenciales de inicio de sesión en dispositivos Netscaler a través de un webshell implementado, eleva sus privilegios secuestrando o creando nuevas cuentas, a menudo con exenciones. a políticas de confianza cero, coloca puertas traseras para cargar malware e intenta desactivar el software antivirus y reducir la configuración de seguridad. También configura una tarea diaria de servicio de Windows para la persistencia a medida que se produce la mitigación.
Cuando se trata de comando y control, se sabe que Pioneer Kitten usa el programa de acceso remoto AnyDesk y permite que los servidores usen Windows PowerShell Web Access. También favorece a Ligolo, una herramienta de creación de túneles de código abierto, y a NGROK para crear conexiones salientes.
El aviso completo de CISA contiene más detalles técnicos sobre su cadena de ataque.
¿Pioneer Kitten se ha vuelto rebelde?
Curiosamente, las autoridades estadounidenses también dijeron que las actividades de ransomware de Pioneer Kitten podrían no ser sancionadas oficialmente por Teherán, y los propios miembros del grupo (que utilizan el nombre de la empresa iraní Danesh Novin Sahand como empresa de TI encubierta) han expresado en ocasiones su preocupación de que el gobierno iraní pueda ser vigilar sus actividades de blanqueo de dinero.
El mandato oficial de Pioneer Kitten, dijo CISA, parece ser llevar a cabo campañas de piratería y filtración, robando datos y publicitándolos, no para ganar dinero, sino para socavar a sus víctimas como parte de las operaciones de información iraníes. Esta actividad parece haberse centrado en gran medida en las víctimas de Israel y otras potencias regionales de interés para Irán, incluidos Azerbaiyán y los Emiratos Árabes Unidos.