Le agenzie di cybersecurity e intelligence degli Stati Uniti hanno segnalato un gruppo di hacker iraniani responsabile di attacchi ransomware a numerose organizzazioni nel paese. Questo gruppo, noto come Pioneer Kitten, Fox Kitten, Lemon Sandstorm (precedentemente Rubidium), Parisite e UNC757, è collegato al governo iraniano e utilizza una società di tecnologia dell'informazione iraniana, Danesh Novin Sahand, come copertura. Le operazioni maligne di questo gruppo mirano a lanciare attacchi ransomware per ottenere e sviluppare l'accesso alla rete.

Le principali vittime di questi attacchi includono i settori dell'istruzione, della finanza, della sanità e della difesa, oltre a enti governativi locali negli Stati Uniti. Sono stati segnalati anche intrusioni in Israele, Azerbaigian e Emirati Arabi Uniti per sottrarre dati sensibili. L'obiettivo principale è ottenere un primo accesso alle reti delle vittime e successivamente collaborare con affiliati del ransomware come NoEscape, RansomHouse e BlackCat per distribuire malware che cripta i file in cambio di una parte dei proventi illeciti, mantenendo intenzionalmente vaga la loro nazionalità e origine.

Gli attacchi, che si ritiene siano iniziati già nel 2017 e continuano fino ad oggi, vedono anche la partecipazione di attori che si fanno chiamare Br0k3r e xplfinder. Questi hacker monetizzano il loro accesso alle organizzazioni vittime su mercati sotterranei, cercando di diversificare le loro fonti di reddito. Un'alta percentuale delle attività informatiche del gruppo mirano a ottenere e mantenere l'accesso tecnico alle reti delle vittime per facilitare futuri attacchi ransomware. Gli attori offrono privilegi di controllo del dominio completo, nonché credenziali di amministratore di dominio, a numerose reti in tutto il mondo.

Gli attacchi iniziali vengono eseguiti sfruttando servizi esterni remoti su asset esposti a vulnerabilità note (CVE-2019-19781, CVE-2022-1388, CVE-2023-3519, CVE-2024-3400 e CVE-2024-24919), seguiti da una serie di passaggi per persistere, aumentare i privilegi e configurare l'accesso remoto tramite strumenti come AnyDesk o l'open-source Ligolo.

Le operazioni ransomware sponsorizzate dallo stato iraniano non sono una novità. Nel dicembre 2020, le aziende di cybersecurity Check Point e ClearSky hanno dettagliato una campagna di hacking e divulgazione chiamata Pay2Key, condotta da Pioneer Kitten, che ha preso di mira specificamente decine di aziende israeliane sfruttando vulnerabilità di sicurezza note. Il riscatto richiesto variava tra sette e nove Bitcoin, con alcuni casi negoziati a tre Bitcoin. Per fare pressione sulle vittime, il sito di divulgazione di Pay2Key mostrava informazioni sensibili rubate dalle organizzazioni bersaglio e minacciava ulteriori fughe di dati se i pagamenti venivano ritardati.

Alcuni attacchi ransomware sono stati condotti anche tramite una società di contratti iraniana chiamata Emennet Pasargad. Questa rivelazione dipinge il quadro di un gruppo flessibile che opera con motivi sia di ransomware che di spionaggio informatico, simile ad altri gruppi di hacker a doppio scopo come ChamelGang e Moonstone Sleet.

Microsoft ha recentemente osservato un attore di minacce sponsorizzato dallo stato iraniano, Peach Sandstorm, distribuire un nuovo backdoor multi-stage personalizzato chiamato Tickler in attacchi contro settori satellite, apparecchiature di comunicazione, petrolio e gas, nonché settori governativi federali e statali negli Stati Uniti e negli Emirati Arabi Uniti tra aprile e luglio 2024. Gli attacchi di Peach Sandstorm includono anche tentativi di spray delle password contro il settore educativo per la raccolta di infrastrutture e i settori satellite, governativo e della difesa come obiettivi principali per la raccolta di informazioni.