- Nhóm tấn công APT Agrius (còn được biết đến với tên Pink Sandstorm hay Americium) của Iran đã hoạt động kể từ tháng 12/2020. Mới đây, nhóm Agrius đã triển khai ransomware mới Moneybird trong các cuộc tấn công nhằm mục tiêu vào các tổ chức của Israel.
Tháng 12/2022, Agrius bị cáo buộc đã thực hiện các cuộc tấn công nhằm vào các ngành công nghiệp mũi nhọn ở Nam Phi, Israel và Hồng Kông.
Các cuộc tấn công của Agrius liên quan đến việc sử dụng ransomware Apostle và Fantasy dựa trên nền tảng lập trình .NET. Tuy nhiên, ransomware Moneybird mới đây được lập trình bằng C++.
Mã độc khai thác các lỗ hổng trong máy chủ web nhằm triển khai Web Shell ASPXSpy. Các Web Shell này được sử dụng làm đường dẫn cung cấp các công cụ nhằm xâm nhập, chọn lọc và thu thập thông tin đăng nhập trái phép.
 |
| Ảnh minh họa |
Sau khi máy chủ bị ransomware Moneybird xâm nhập sẽ thực hiện mã hóa các tệp quan trọng trong thư mục F:\User Shares sau đó nhóm này sẽ đưa ra đe dọa và yêu cầu tiền chuộc trong vòng 24 giờ hoặc những thông tin bị đánh cắp sẽ rò rỉ ra ngoài.
Agrius không phải là nhóm tấn công APT duy nhất được nhà nước Iran tài trợ tham gia các hoạt động nhằm vào Israel. Các cuộc tấn công mới của Agrius có thể sử dụng nhiều ransomware khác cho các chiến dịch lừa đảo và tống tiền.
Các cá nhân, tổ chức cần cẩn thận trước khi nhấp chuột vào bất kỳ trang web nào. Đồng thời tăng cường nâng cao hệ thống bảo mật của mạng nội bộ tổ chức, doanh nghiệp.
PV
