Thesari i SHBA-së sanksionon aktorët kibernetikë të lidhur me IRGC për role në aktivitetin e Ransomware
Nga OraNews Përditësimi i fundit 14 Shtator 2022, 18:46
Sot, Zyra e Departamentit të Thesarit për Kontrollin e Pasurive të Huaja (OFAC) sanksionoi dhjetë individë dhe dy entitete për rolet e tyre në kryerjen e akteve keqdashëse kibernetike, duke përfshirë aktivitetin e ransomware.
Emërtimet e sotme janë pjesë e një veprimi të përbashkët me Departamentin e Drejtësisë, Departamentin e Shtetit, Byronë Federale të Hetimit, Komandën Kibernetike të SHBA, Agjencinë e Sigurisë Kombëtare dhe Agjencinë e Sigurisë Kibernetike dhe Sigurisë së Infrastrukturës.
Individët dhe entitetet e përcaktuara sot janë të gjithë të lidhur me Korpusin e Gardës Revolucionare Islamike të Iranit (IRGC).
Ky veprim vazhdon serinë e përcaktimeve të OFAC që synojnë të mbrojnë personat amerikanë nga aktiviteti i ransomware, lehtësuesit e aktivitetit të ransomëare dhe krime të tjera kibernetike.
“Aktorët e Ransomëare dhe kriminelët e tjerë kibernetikë, pavarësisht nga origjina e tyre kombëtare ose baza e operacioneve, kanë shënjestruar bizneset dhe infrastrukturën kritike në të gjithë bordin – duke kërcënuar drejtpërdrejt sigurinë fizike dhe ekonominë e Shteteve të Bashkuara dhe të vendeve të tjera”, tha nënsekretari i Thesarit për Terrorizmi dhe Inteligjenca Financiare Brian E. Nelson.
“Ne do të vazhdojmë të ndërmarrim veprime koordinuese me partnerët tanë globalë për të luftuar dhe parandaluar kërcënimet e ransomëare, përfshirë ato që lidhen me IRGC-në”.
Incidentet e Ransomware kanë ndërprerë shërbimet dhe bizneset kritike globalisht, duke përfshirë shkollat, zyrat qeveritare, spitalet dhe shërbimet e urgjencës, transportin, energjinë dhe kompanitë ushqimore.
Pagesat e raportuara të ransomëare në Shtetet e Bashkuara arritën mbi 590 milion dollarë në 2021, krahasuar me një total prej 416 milion dollarë në 2020.
Qeveria e SHBA vlerëson se këto pagesa përfaqësojnë vetëm një pjesë të dëmit ekonomik të shkaktuar nga aktivitetet keqdashëse kibernetike.
Përveç miliona dollarëve të paguar drejtpërdrejt në shpërblime dhe të alokuara për përgjigje dhe rimëkëmbje, ndërprerja në sektorët kritikë nënvizon objektivat e atyre që kërkojnë të armatizojnë teknologjinë për përfitime personale, duke prishur ekonominë tonë dhe duke dëmtuar kompanitë, familjet dhe individët që varen prej saj për jetesën, kursimet dhe të ardhmen e tyre.
Autorët që qëndrojnë pas këtyre incidenteve të ransomëare-ve kërkojnë të dëmtojnë Shtetet e Bashkuara dhe të zhvatin popullin amerikan dhe aleatët tanë, dhe ata që ofrojnë shërbime financiare për aktorët e ransomware ose lehtësojnë pastrimin e parave, mundësojnë këtë aktivitet të paligjshëm.
Veprimi i sotëm tregon përkushtimin e qeverisë së SHBA për të ndërprerë infrastrukturën dhe aktorët e ransomware. Shtetet e Bashkuara nuk do të tolerojnë aktivitete keqdashëse kibernetike, duke përfshirë aktivitetet përçarëse të krimit kibernetik, duke viktimizuar shtyllën kurrizore të ekonomisë amerikane dhe infrastrukturën kritike.
Sulmet nga 2020
Sot, OFAC, si pjesë e një reagimi të gjithë qeverisë, ndërmori veprime kundër një grupi aktorësh kibernetikë keqdashës me bazë në Iran, të cilët kanë kompromentuar rrjetet me bazë në Shtetet e Bashkuara dhe kombe të tjera që të paktën që nga viti 2020.
Ky grup i lidhur me IRGC-në është i njohur për shfrytëzimin e dobësive të softuerit për të kryer aktivitetet e tyre ransomëare, si dhe përfshihet në akses të paautorizuar në kompjuter, ekfiltrim të të dhënave dhe aktivitete të tjera keqdashëse kibernetike.
Firmat private të sigurisë kibernetike në mënyrë rutinore japin emërtime për fushata të veçanta kibernetike, dhe ndërsa individët e sanksionuar sot nuk lidhen drejtpërdrejt me një grup të quajtur kërcënimi të përparuar të përparuar, disa nga aktivitetet e tyre keqdashëse kibernetike mund t'i atribuohen pjesërisht disa grupeve të emërtuara të ndërhyrjeve, të tilla si "APT 35 , "Kotele simpatike", “Kotele Nemesis", "Fosfor" dhe "Tunnel Vision".
Disa firma të sigurisë kibernetike kanë përcaktuar se këto grupe ndërhyrjesh janë të lidhura me Qeverinë e Iranit dhe i kanë identifikuar ato se kanë kryer një sërë aktivitetesh keqdashëse të aktivizuara nga kibernetikë, duke përfshirë ransomëare dhe spiunazh kibernetik.
Ky grup ka nisur fushata të gjera kundër organizatave dhe zyrtarëve në të gjithë globin, veçanërisht duke synuar mbrojtjen, personelin diplomatik dhe qeveritar të SHBA-së dhe Lindjes së Mesme, si dhe industritë private duke përfshirë median, energjinë, shërbimet e biznesit dhe telekomunikacionin.
Në shkurt 2021, ky grup aktorësh kibernetikë keqdashës viktimizuan një komunë të Nju Xhersit përmes një rrjeti kompjuterik duke përdorur një cenueshmëri specifike të Fortinet.
Këta aktorë përdorën aksesin e tyre për të krijuar llogari të paautorizuara, për të përshkallëzuar privilegjet e tyre dhe për të kryer lëvizje anësore në pjesë të tjera të rrjetit.
Ata përdorën gjithashtu një përfaqësues të shpejtë të kundërt në një nga serverët e bashkisë për të vendosur qasje të vazhdueshme në distancë në një domen të caktuar që ishte regjistruar nga Mansour Ahmadi (Mansour).
Grupi vendosi gjithashtu mjete të tilla si Mimikatz dhe Filezilla për të çuar përpara aktivitetin e tyre keqdashës.
Në mars dhe prill 2021, ky grup keqdashës kibernetik nisi grupin e parë të njohur të aktiviteteve të tyre të enkriptimit duke kompromentuar rrjetet, duke aktivizuar Microsoft BitLocker pa autorizim dhe duke mbajtur çelësat e deshifrimit për shpërblim.
Gjatë kësaj kohe, një sërë biznesesh të vogla u ndikuan, duke përfshirë një studio ligjore, një firmë kontabiliteti dhe një kontraktor ndërtimi.
Në qershor 2021, grupi fitoi akses të paautorizuar në kontrollin mbikëqyrës dhe sistemet e marrjes së të dhënave të lidhura me një spital fëmijësh me bazë në SHBA.
Pasi grupi kompromentoi rrjetin, ata krijuan llogari të paautorizuara, përshkallëzuan privilegjet, lëvizën anash përmes rrjetit, vendosën akses të vazhdueshëm, ekfiltronin të dhëna dhe koduan të paktën një pajisje me BitLocker.
Partnerët e zbatimit të ligjit të qeverisë amerikane i dhanë një njoftim spitalit të fëmijëve përpara se të kishte ndonjë ndikim në kujdesin e pacientit ose shërbimet mjekësore.
Nga qershori deri në gusht 2021, grupi përshpejtoi aktivitetin e tyre keqdashës duke synuar një gamë të gjerë viktimash me bazë në SHBA, duke përfshirë ofruesit e transportit, praktikat e kujdesit shëndetësor, ofruesit e shërbimeve të urgjencës dhe institucionet arsimore.
Agjencitë qeveritare të SHBA ishin në gjendje të paralajmëronin viktimat e mundshme të këtij aktiviteti dhe parandaluan ose zbutën dëmtimin ose kompromentimin e rrjeteve kompjuterike në shumë raste.
Nga shtatori 2021 deri më sot, ky grup kryesisht fitoi akses të paautorizuar në rrjetet e viktimave duke shfrytëzuar dobësitë e Microsoft Exchange dhe të lidhura me ProxyShell, duke përfshirë një incident në tetor 2021 kur ata komprometuan rrjetin e një kompanie të shërbimeve elektrike që shërben në një zonë rurale të Shteteve të Bashkuara dhe përdori me qëllim të keq BitLocker për të ndërprerë operacionet.
Ky grup i lidhur me IRGC-në përbëhet nga punonjës dhe bashkëpunëtorë të Najee Technology Hooshmand Fater LLC (Najee Technology) dhe Afkar System Yazd Company (Afkar System).
Mansour është pronar, drejtor menaxhues dhe kryetar i bordit të Najee Technology.
Ahmad Khatibi Aghda (Khatibi) është drejtor menaxhues dhe anëtar i bordit të Afkar System.
Punonjësit dhe bashkëpunëtorët shtesë të Najee Technology dhe/ose Afkar System përfshijnë: Ali Agha-Ahmadi (Ali Ahmadi); Mohammad Agha Ahmadi (Mohammed Ahmadi); Mo'in Mahdavi (Mahdavi); Aliakbar Rashidi-Barjini (Rashidi); Amir Hossein Nikaeen Ravari (Nikaeen); Mostafa Haxhi Hosseini (Mostafa); Mojtaba Haxhi Hosseini (Mojtaba); dhe, Mohammad Shakeri-Ashtijeh (Shakeri).
Khatibi ka qenë i lidhur me Afkar System që të paktën nga viti 2007 dhe shërben si drejtor menaxhues dhe është anëtar i bordit.
Khatibi është ndër aktorët kibernetikë që fituan akses të paautorizuar në rrjetet e viktimave për të enkriptuar rrjetin me BitLocker dhe për të kërkuar një shpërblim për çelësat e deshifrimit.
Ai mori me qira infrastrukturën e rrjetit të përdorur për të çuar përpara aktivitetet e këtij grupi keqdashës kibernetik, ai mori pjesë në kompromentimin e rrjeteve të viktimave dhe u angazhua në negociatat e shpërblesës me viktimat.
Nikaeen ishte një punonjës i Afkar System nga viti 2015 deri në të paktën 2019.Nikaeen mori me qira dhe regjistroi infrastrukturën e rrjetit të përdorur për të çuar përpara aktivitetet e këtij grupi keqdashës kibernetik dhe mori pjesë në kompromentimin e rrjeteve të viktimave.
Ali Ahmadi ka qenë një punonjës i Najee Technology që të paktën që nga viti 2019.
Rashidi ka punuar për Mansour të paktën që nga shkurti i vitit 2021.
Punonjësit e lidhur me IRGC-Mansour, Ali Ahmadi, Mohammad Ahmadi, Mahdavi, Rashidi, Khatibi, Nikaeen, Mostafa, Mojtaba dhe Shakeri- të kompanive të lidhura me IRGC, Najee Technology dhe Afkar System, janë përgjegjës ose bashkëpunëtorë në, ose janë përfshirë, drejtpërdrejt ose tërthorazi, në shënjestrimin global të rrjeteve të ndryshme, duke përfshirë infrastrukturën kritike, duke shfrytëzuar dobësitë e njohura për të fituar akses fillestar në avancimin e aktiviteteve me qëllim të keq, duke përfshirë operacionet e shpërblesës.
Mansour, Ali Ahmadi, Mohammad Ahmadi, Mahdavi, Rashidi, Khatibi, Nikaeen, Mostafa, Mojtaba dhe Shakeri u caktuan në përputhje me Urdhrin Ekzekutiv (E.O.) 13694, të ndryshuar, për të qenë përgjegjës ose bashkëpunëtorë, ose duke u angazhuar në, drejtpërdrejt ose në mënyrë indirekte, një aktivitet i mundësuar nga kibernetike i identifikuar në zbatim të E.O. 13694, i ndryshuar.
Najee Technology u caktua në përputhje me E.O. 13694, i ndryshuar, për ndihmën materiale, sponsorizimin ose ofrimin e mbështetjes financiare, materiale ose teknologjike për, ose mallra ose shërbime ose në mbështetje të, një aktiviteti të mundësuar nga kibernetike të identifikuar në bazë të E.O. 13694, i ndryshuar.
Sistemi Afkar u caktua në përputhje me E.O. 13694, i ndryshuar, për të qenë në pronësi ose kontroll, ose për të vepruar në emër ose në emër të, drejtpërdrejt ose tërthorazi, Khatibi, një personi të cilit prona dhe interesat në pronë i janë bllokuar në përputhje me E.O. 13694, i ndryshuar.
Përveç caktimit të sanksioneve, Zyra e Prokurorit të SHBA për Distriktin e Nju Xhersit hapi një aktakuzë që akuzonte Mansour, Khatibi dhe Nikaeen për shkelje të Aktit të Mashtrimit dhe Abuzimit Kompjuterik (CFAA) dhe komplot për të shkelur CFAA.
