ESET Research revela un nuevo ataque Wiper liderado por Agrius Group, filial de Irán, dirigido a la industria del diamante
Agrius llevó a cabo el llamado ataque a la cadena de suministro al secuestrar un paquete de software israelí utilizado en la industria del diamante.
Agrius es un grupo de piratas informáticos relativamente nuevo, afiliado a Irán y que se centra únicamente en operaciones de destrucción.
El grupo desplegó un borrador (limpiador) al que llamamos Fantasía. La mayor parte de su código proviene de Apóstol, el limpiaparabrisas anterior de Agrius.
Junto con Fantasy, Agrius también ha lanzado una nueva herramienta de ejecución y movimiento lateral Fantasy que hemos llamado Sandals.
Entre las víctimas se encuentran empresas israelíes de recursos humanos, consultorías de TI y un mayorista de diamantes, una empresa sudafricana que trabaja en la industria del diamante y un joyero de Hong Kong.
Investigadores de ESET, el principal editor de soluciones de seguridad de Europa, han descubierto un nuevo limpiador y su herramienta de ejecución, ambos atribuidos al grupo de piratas informáticos Agrius, afiliado a Irán. Estos operadores maliciosos llevaron a cabo el llamado ataque de secuestro de la cadena de suministro en el software de un editor israelí para implementar Fantasy, su nuevo limpiaparabrisas, y Sandals, una nueva herramienta de ejecución y movimiento lateral de Fantasy. El paquete de software secuestrado es de origen israelí, se utiliza en la industria del diamante. En febrero de 2022, Agrius comenzó apuntando a una empresa israelí de recursos humanos, un mayorista de diamantes y una firma de consultoría de TI. El grupo es conocido por sus actividades destructivas. También se han visto víctimas en Sudáfrica y Hong Kong.
“La campaña duró menos de tres horas y durante ese tiempo los clientes de ESET ya estaban protegidos con detecciones que identificaban a Fantasy como un borrador y bloqueaban su ejecución. Descubrimos que el desarrollador del software utilizado para el ataque lanzó nuevas actualizaciones a las pocas horas del ataque”, dijo Adam Burgher, analista senior de inteligencia de amenazas de ESET. Nos pusimos en contacto con el desarrollador del software para informarle de una posible violación de seguridad, pero no recibimos respuesta.
“El 20 de febrero de 2022, Agrius implementó herramientas de recolección de credenciales en una empresa de la industria del diamante en Sudáfrica, probablemente como preparación para esta campaña. Luego, el 12 de marzo de 2022, Agrius lanzó su ataque implementando el malware Fantasy y Sandals, primero en la víctima en Sudáfrica, luego en las víctimas en Israel y finalmente en una víctima en Hong Kong”, continúa el Sr. Burgher.
Fantasy Eraser elimina todos los archivos en el disco o todos los archivos cuyas extensiones están en una lista de 682, incluidos los archivos de aplicaciones de Microsoft 365 como Microsoft Word, Microsoft PowerPoint y Microsoft Excel, y formatea archivos comunes de video, audio e imagen. Incluso si el malware toma medidas para evitar la recuperación de archivos y limitar el éxito de una investigación forense, es probable que la recuperación del disco del sistema operativo Windows sea posible. Las víctimas volvieron a estar operativas en cuestión de horas.
Agrius es un grupo relativamente nuevo, afiliado a Irán, que ha estado atacando a víctimas en Israel y los Emiratos Árabes Unidos desde 2020. El grupo implementó inicialmente Apostle, un borrador disfrazado de ransomware, pero luego lo modificó para convertirlo en un ransomware completo. Agrius explota las vulnerabilidades conocidas en las aplicaciones de Internet para instalar webshells, luego realiza un reconocimiento interno antes de realizar movimientos laterales e implementar su malware.
Desde su descubrimiento en 2021, Agrius se ha centrado únicamente en operaciones de destrucción. Fantasy es similar en muchos aspectos al borrador de Apostle anterior, excepto que no hace ningún esfuerzo por disfrazarse de ransomware. Solo hay algunos cambios menores entre la mayoría de las funciones originales de Apostle y la implementación de Fantasy.
Para obtener más información técnica sobre el limpiaparabrisas Agrius Fantasy, consulte el artículo "Fantasía: un nuevo limpiaparabrisas Agrius desplegado a través de un ataque a la cadena de suministro" en WeLiveSecurity.