Eine bestimmte Gruppe iranischer Cyber-Akteure hat seit 2017 und erst kürzlich im August zahlreiche Versuche unternommen, in Computernetzwerke von US-Organisationen einzudringen. Dies geht aus einer neuen Warnung des Federal Bureau of Investigation, Cybersecurity and Infrastructure Security Agency und des Cyber ​​Crime Center des Verteidigungsministeriums hervor.
Die Gruppe – bekannt als Pioneer Kitten, Fox Kitten, UNC757, Parisite, RUBIDIUM und Lemon Sandstorm – arbeitet mit Ransomware-Banden wie ALPHV zusammen, auch bekannt als BlackCat, einer Gruppe, die für zahlreiche Angriffe auf die Cybersicherheit im Gesundheitswesen verantwortlich ist.
WARUM ES WICHTIG IST
Diese Gruppe iranischer Bedrohungsakteure bezeichnet sich selbst mit den Spitznamen „Br0k3r“ und ab 2024 mit „xplfinder“, so die Agenturen. gemeinsame Beratung.
Während das FBI in der Vergangenheit im Zusammenhang mit Hack-and-Leak-Kampagnen Bedrohungen aus dem Iran beobachtet hat, identifizierte das Amt diese Gruppe kürzlich als direkt zusammenarbeitend mit den Ransomware-Partnern ALPHV, NoEscape und Ransomhouse.
Die iranischen Cyber-Akteure bieten nicht nur volle Domänenkontrollrechte an, sondern arbeiten auch eng mit Ransomware-Partnern zusammen, um die Netzwerke der Opfer zu sperren und ihre Erpressung strategisch zu planen. Zu ihren Zielen gehört es, Verschlüsselungsvorgänge gegen einen Prozentsatz der Lösegeldzahlungen zu ermöglichen, so die Behörden.
Der Warnung zufolge geben die Bedrohungsakteure ihren Standort gegenüber den mit der Ransomware in Verbindung stehenden Kontakten nicht bekannt und bleiben hinsichtlich ihrer Nationalität und Herkunft absichtlich vage.
Seit Juli wurde beobachtet, dass diese Akteure „IP-Adressen scannten, die Check Point Security Gateways hosten, und nach Geräten suchten, die möglicherweise anfällig für CVE2024-24919 sind“, so die Behörden.
Seit April führen die Bedrohungsakteure Massenscans von IP-Adressen durch, auf denen PAN-OS- und GlobalProtect VPN-Geräte von Palo Alto Networks gehostet werden. Dabei „führen sie wahrscheinlich Aufklärungsarbeiten durch“ und suchen nach Geräten, die für die Ausführung von Remotecode anfällig sind.
Die technischen Details ergänzen und aktualisieren eine vorherige Empfehlung über Ausnutzung von VPN-Schwachstellen im Iran die das FBI und CISA erstmals im Jahr 2020 veröffentlichten.
Die Behörden empfehlen Organisationen, die vorgeschlagenen Abhilfemaßnahmen zu befolgen, um sich gegen die Versuche iranischer Cyber-Akteure zu verteidigen, in ihren Netzwerken Fuß zu fassen.
„Diese Abhilfemaßnahmen stehen im Einklang mit den branchenübergreifenden Leistungszielen für Cybersicherheit, die von CISA und dem National Institute of Standards and Technology entwickelt wurden“, stellten sie fest.
DER GRĂ–SSERE TREND
Anfang des Jahres überarbeiteten das FBI, CISA und das Gesundheitsministerium ihre gemeinsame ALPHV-Blackcat-Cybersicherheitswarnung, um auf neue Indikatoren für eine Gefährdung des Gesundheitssektors einzugehen.
„Seit Mitte Dezember 2023 war der Gesundheitssektor von den fast 70 durchgesickerten Opfern am häufigsten betroffen“, sagten sie.
Während das FBI behauptete, Ende letzten Jahres die Darknet-Website und -Infrastruktur des in Russland ansässigen Unternehmens ALPHV beschlagnahmt zu haben, behauptete die Ransomware-Gruppe angeblich, sie habe nach dem monumentalen Angriff und dem anschließenden Ausfall des Riesen für die Zahlungsabwicklung von Schadensfällen im Februar 6 Billionen Bytes an Daten von Change Healthcare exfiltriert.
ORIENTIERTE DATEN
„Die ersten Eindringversuche der iranischen Cyber-Akteure basieren auf der Ausnutzung externer Remote-Dienste auf internetfähigen Anlagen, um ersten Zugriff auf die Netzwerke der Opfer zu erhalten“, sagten FBI- und CISA-Beamte in der Mitteilung.
Andrea Fox ist leitende Redakteurin von Healthcare IT News.
E-Mail: afox@himss.org
Healthcare IT News ist eine Veröffentlichung von HIMSS Media.
Das HIMSS Healthcare Cybersecurity Forum findet vom 31. Oktober bis 1. November in Washington, DC statt. Mehr erfahren und registrieren.