Una nueva alerta de las autoridades federales afirma que piratas informáticos patrocinados por el Estado iraní están colaborando con bandas de ransomware para extraer fondos de organizaciones estadounidenses.
Un grupo de piratas informáticos iraní patrocinado por el Estado ha estado reclutando a bandas de ransomware para que le ayuden a infligir más daños en Estados Unidos, según una nueva alerta del FBI.
Apodado Fox Kitten, el grupo de hacking iraní se ha estado infiltrando en redes estadounidenses, incluidas escuelas, centros de salud, empresas financieras y gobiernos municipales, desde 2017.
En 2020, el grupo intentó vender acceso a redes estadounidenses comprometidas en foros de ciberdelincuentes. El FBI dice ahora que los hackers iraníes han estado «colaborando directamente con afiliados de ransomware para permitir operaciones de cifrado a cambio de un porcentaje de los pagos de rescate.»
«El FBI evalúa que un porcentaje significativo de las operaciones de estos actores de amenazas contra organizaciones estadounidenses están destinadas a obtener y desarrollar acceso a la red para luego colaborar con actores afiliados al ransomware para desplegar ransomware», agregó la agencia.
🚨 We released an advisory with @FBI and @DC3Forensics warning of Iran-based cyber actors targeting U.S. and foreign organizations, enabling #ransomware attacks. Review our joint advisory, implement mitigations & report incidents. More 👉 https://t.co/JbMcYpiaay pic.twitter.com/k8tvuhMoGp
— Cybersecurity and Infrastructure Security Agency (@CISAgov) August 28, 2024
Esto incluye la comunicación con bandas de ransomware como NoEscape, RansomHouse y ALPHV/BlackCat, que supuestamente se disolvió después de desempeñar un papel en el ciberataque de Change Healthcare a principios de este año.
«La participación de los actores cibernéticos iraníes en estos ataques de ransomware va más allá de proporcionar acceso; trabajan en estrecha colaboración con los afiliados del ransomware para bloquear las redes de las víctimas y elaborar estrategias sobre los enfoques para extorsionar a las víctimas», añade la alerta. «El FBI evalúa que estos actores no revelan su ubicación basada en Irán a sus contactos afiliados de ransomware y son intencionalmente vagos en cuanto a su nacionalidad y origen».
Sin proporcionar detalles, el FBI dice que rastreó la actividad de hacking a Irán en parte porque el grupo de hacking ha estado utilizando el «nombre de la empresa iraní Danesh Novin Sahand» como fachada. No está claro por qué el grupo está trabajando con bandas de ransomware, pero es posible que los hackers iraníes lo hagan para ayudar a financiar sus actividades.
Anteriormente, hackers iraníes piratearon y filtraron documentos robados a organizaciones víctimas a finales de 2020 mientras utilizaban un ransomware llamado Pay2Key. «El FBI no cree que el objetivo de Pay2Key fuera obtener el pago de rescates. Más bien, el FBI considera que Pay2Key era una operación de información destinada a socavar la seguridad de la infraestructura cibernética basada en Israel», declaró la agencia.
Los investigadores estadounidenses también han descubierto presuntos grupos iraníes que intentan inmiscuirse en las elecciones estadounidenses. Esto incluye la creación de sitios de noticias falsas para influir en la opinión pública, además de piratear y robar documentos de la campaña de reelección de Donald Trump.
La alerta del FBI incluye detalles técnicos que las organizaciones estadounidenses pueden utilizar para identificar y defender los ataques del grupo Fox Kitten. «El FBI y la CISA (Agencia de Ciberseguridad y Seguridad de Infraestructuras) no animan a pagar el rescate, ya que el pago no garantiza la recuperación de los archivos de la víctima», añade la alerta. «Además, el pago también puede envalentonar a los adversarios para atacar a otras organizaciones».