美国最近警告称,伊朗国家支持的黑客正在利用勒索软件和其他手段攻击关键基础设施领域的美国组织。周三,美国网络安全和基础设施安全局(CISA)、联邦调查局(FBI)、澳大利亚网络安全中心(ACSC)英国国家网络安全中心(NCSC)联合发布罕见警告,公开将伊朗与勒索软件联系起来。
公告称,目前发现的证据表明,伊朗支持的攻击者至少在3月份使用 Fortinet 微软 漏洞从 10个月开始使用Exchange ProxyShell 进入美国交通和公共卫生部门的关键基础设施组织和澳大利亚组织的漏洞。黑客的目的是利用这种访问权进行后续行动,如数据渗透、勒索和赎金软件的部署。
比如今年5月,黑客滥用 Fortigate 设备,访问了美国市政府托管域名的网络服务器。下个月,CISA 和 FBI 观察到黑客使用 Fortinet 的漏洞访问了美国一家专门从事儿童保健的医院的网络。
关于伊朗的许多 APT组织演变的单独报告(高阶持续威胁)共同发布,APT 组织越来越多地使用勒索软件来收集资金或扰乱其目标。在报告中,微软表示,它一直在跟踪 6 伊朗威胁集团,在2020年9月开始的攻击中部署勒索软件和渗透数据。
微软挑出了一个特别的"有侵略性"它叫组织Phosphorus,也被称为APT35,该公司在过去两年里一直在跟踪该组织。虽然它过去使用鱼叉钓鱼邮件来吸引受害者,包括2020年美国大选期间的总统候选人,但微软表示,该组织现在正在使用社会工程战略Windows内置全磁盘加密功能BitLocker在加密他们的文件之前,与受害者建立良好的关系。