L’Iran a été lié à une autre opération de ransomware parrainée par l’État via une société contractante basée dans le pays, selon une nouvelle analyse.

“Le Corps des gardiens de la révolution islamique d’Iran (IRGC) menait une campagne de ransomware parrainée par l’État via une société de sous-traitance iranienne appelée ‘Emen Net Pasargard’ (ENP), “la société de cybersécurité Flashpoint mentionné dans ses conclusions résumant trois documents divulgués par une entité anonyme nommée Read My Lips ou Lab Dookhtegan entre le 19 mars et le 1er avril via sa chaîne Telegram.

Surnommée «Project Signal», l’initiative aurait démarré entre la fin juillet 2020 et le début septembre 2020, avec l’organisation de recherche interne de l’ENP, appelée «Centre d’études», dressant une liste de sites Web cibles non spécifiés.

auditeur de mot de passe

Une deuxième feuille de calcul validée par Flashpoint a explicitement précisé les motivations financières du projet, avec des plans pour lancer les opérations de ransomware à la fin de 2020 pour une période de quatre jours entre le 18 et le 21 octobre. Un autre document décrit les flux de travail, y compris les étapes pour recevoir les paiements Bitcoin de victimes de ransomware et décrypter les données verrouillées.

Il n’est pas immédiatement clair si ces attaques se sont déroulées comme prévu et qui elles ont ciblé.

“L’ENP opère pour le compte des services de renseignement iraniens en fournissant des cybercapacités et un soutien au Corps des gardiens de la révolution islamique (CGRI), à la Force Qods du CGRI (IRGC-QF) et au ministère iranien du renseignement et de la sécurité (MOIS)”, ont déclaré les chercheurs.

Malgré les thèmes des ransomwares du projet, les chercheurs soupçonnent que cette décision pourrait être une “technique de subterfuge” pour imiter les tactiques, techniques et procédures (TTP) d’autres groupes de ransomwares cybercriminels à motivation financière afin de rendre l’attribution plus difficile et mieux se fondre dans le paysage des menaces.

Il est intéressant de noter que le déploiement de Project Signal a également coïncidé avec une autre campagne de ransomware iranienne appelée «Pay2Key», qui a piégé des dizaines d’entreprises israéliennes en novembre et décembre 2020. ClearSky, société de cybersécurité basée à Tel Aviv. attribué la vague d’attaques contre un groupe appelé Chaton renard. Compte tenu du manque de preuves, on ne sait pas quel lien, le cas échéant, les deux campagnes peuvent avoir l’une avec l’autre.

Ce n’est pas la première fois que Lab Dookhtegan publie des informations cruciales sur les cyber-activités malveillantes de l’Iran. Dans un style qui fait écho au Courtiers fantômes, Lab Dookhtegan précédemment déversé les secrets d’un groupe de hackers iranien connu sous le nom d’APT34 ou OilRig, y compris la publication de l’arsenal d’outils de piratage de l’adversaire, ainsi que des informations sur 66 organisations de victimes et le doxxing de l’identité réelle des membres des agents de renseignement du gouvernement iranien.

La nouvelle de la nouvelle opération de ransomware en Iran intervient également alors qu’une coalition de gouvernements et d’entreprises technologiques du secteur privé, appelée le groupe de travail sur les ransomwares, a partagé un Rapport de 81 pages comprenant une liste de 48 recommandations pour détecter et interrompre les attaques de ransomware, en plus d’aider les organisations à se préparer et à répondre plus efficacement à de telles intrusions.



Leave a Reply