Cyberattacken, Die UN bietet $10 Millionen Belohnung: Helfen Sie uns, die Hacker zu identifizieren

Die heute benannten Personen und Entitäten sind alle mit dem islamischen Revolutionsschutzkorps des Iran verbunden (IRGC). Diese Aktion setzt eine Reihe von OFAC-Terminen fort, die darauf abzielen, amerikanische Menschen vor der Aktivität der ransomware, Moderatoren von ranasomware Aktivität und anderen Cyberkriminalität zu schützen.

Das State Rewards for Justice-Programm bietet eine Belohnung von bis zu $10m für Informationen, die zur Identifizierung oder Lage jeder Person, die an bösartigen Cyber-Aktivitäten gegen die kritische Infrastruktur der USA beteiligt ist, führen.

“Ransomware-Akteure und andere Cyber-Kriminellen, unabhängig von ihrer nationalen Herkunft oder Basis von Operationen, haben kritische Unternehmen und Infrastrukturen über das Board ausgerichtet, direkt bedrohen die körperliche Sicherheit und die Wirtschaft der Vereinigten Staaten und anderer Länder”, Treasury-Untersekretär für Terror und Financial Intelligence Brian E. Nelson. “Wir werden weiterhin koordinierende Maßnahmen mit unseren globalen Partnern ergreifen, um die Bedrohungen von Sandsomware zu bekämpfen und zu verhindern, einschließlich derjenigen, die mit IRC” in Verbindung stehen.

Ransomware Vorfälle haben weltweit kritische Dienstleistungen und Unternehmen abgeschnitten, darunter Schulen, Regierungsbüros, Krankenhäuser und Notdienste, Transport, Energie und Lebensmittelunternehmen. Die gemeldeten Zahlungen der ranasomware in den USA beliefen sich im Jahr 2021 auf über 590m, im Vergleich zu einem Gesamtvolumen von $416 Millionen im Jahr 2020. Die US-Regierung schätzt, dass diese Zahlungen nur einen Teil des wirtschaftlichen Schadens darstellen, der durch bösartige Cyber-Aktivitäten verursacht wird. Zusätzlich zu Millionen von Dollar, die direkt in Belohnung bezahlt und für Reaktion und Erholung verankert sind, zeigt die Ausgliederung in den kritischen Sektoren die Ziele der Menschen, die auf der Suche nach Technologie für den persönlichen Gewinn zu armen, unsere Wirtschaft zu beschädigen und schädliche Unternehmen, Haushalte und Einzelpersonen, die davon abhängig sind, für ihre Lebensgrundlage, Ersparnisse und Zukunft.

Die heutige Aktion zeigt das Engagement der amerikanischen Regierung, ihre Infrastruktur zu stören und die Akteure von Ranomware zu stören. Die Vereinigten Staaten werden schädliche Cyber-Aktivitäten, einschließlich Cybercrime divisive Aktivitäten, nicht tolerieren, das Rückgrat der amerikanischen Wirtschaft und der kritischen Infrastruktur zu Opfern.

ACT O CIBERNET vereint LIBLE mit IGRC
Heute hat OFAC als Teil einer gesamten Regierungsreaktion gegen eine Gruppe von iranischen bösartigen Cyber-Akteuren, die seit mindestens 2020 in den USA und anderen Ländern kompromittierte Netzwerke mit Sitz in den USA und anderen Ländern haben, gehandelt. Diese IRC-bezogene Gruppe ist bekannt für die Verwendung von Softwareschwächen, um ihre ransomware-Aktivitäten durchzuführen, sowie für die Beteiligung an unbefugtem Computerzugriff, efiling Daten und anderen bösartigen Cyber-Aktivitäten. Private Cyber-Sicherheitsfirmen machen Routinetermine für bestimmte Cyber-Kampagnen und während die heute sanktionierten Personen nicht direkt mit einer Gruppe namens fortgeschrittene Bedrohungen verbunden sind, können einige ihrer bösartigen Cyber-Aktivitäten teilweise einigen bestimmten Interventionsgruppen zugeordnet werden, wie “APT 35 , “Sex2>, “Kitten Nemesis”, “Fosfor” und “Tunnel Vision.

Diese Gruppe hat umfangreiche Kampagnen gegen Organisationen und Beamte auf der ganzen Welt gestartet, die sich vor allem auf die Verteidigung der USA und des Nahen Ostens, auf das diplomatische und staatliche Personal sowie auf die privaten Industrien wie Medien, Energie, Geschäftsdienstleistungen und Telekommunikation konzentrieren.

Im Februar 2021 hat diese Gruppe von bösartigen Cyber-Akteuren eine New Jersey Gemeinde durch ein Computernetzwerk unter Verwendung einer speziellen Schwachstelle für Fortine Opfer gemacht. Diese Akteure nutzten ihren Zugang zu unberechtigten Konten, skalieren ihre Privilegien und führen Seitenbewegungen in anderen Teilen des Netzes durch. Sie nutzten auch einen schnellen Reverse-Repräsentant auf einem der kommunalen Server, um den fortgesetzten Fernzugriff auf eine bestimmte Domain zu etablieren, die von Mansour Ahmadi (Mansour) aufgenommen wurde. Die Gruppe hat auch Werkzeuge wie Mimikatz und Filezilla eingerichtet, um ihre bösartige Aktivität voranzutreiben.

Im März und April 2021 startete diese bösartige Cyber-Gruppe die erste bekannte Gruppe ihrer Verschlüsselungsaktivitäten, indem sie Netzwerke kompromittiert, Microsoft BitLocker ohne Autorisierung aktiviert und die Schlüssel zum Kauf für Lösegeld beibehalten. Während dieser Zeit wurden einige kleine Unternehmen beeinflusst, darunter ein juristisches Studio, eine Buchhaltungsfirma und einen Bauunternehmer.

Im Juni 2021 erhielt die Gruppe unbefugten Zugang zu Aufsichts- und Geheimdienstsystemen, die mit einem US-amerikanischen Krankenhaus für Kinder verbunden sind. Nachdem die Gruppe das Netzwerk kompromittierte, erstellten sie unberechtigte Konten, eskalierte Privilegien, bewegten Seiten durch das Netzwerk, etablierte den fortgesetzten Zugriff, ekfilron Daten und kodierte mindestens ein Gerät mit BitLocker. Die US-Regierungsbehörden-Partner gaben dem Kinderkrankenhaus einen Bericht, bevor sie Auswirkungen auf die Patientenversorgung oder medizinische Dienstleistungen haben.

Von Juni bis August 2021 beschleunigte die Gruppe ihre bösartige Aktivität, indem sie eine Vielzahl von US-amerikanischen Opfern, darunter Transportunternehmen, Gesundheitspraktiken, Notdienstanbieter und Bildungseinrichtungen, richtete. Die US-Regierungsbehörden konnten potenzielle Opfer dieser Tätigkeit warnen und in vielen Fällen Schäden oder Kompromisse von Computernetzwerken verhindern oder erleichtern.

Von September 2021 bis heute hat diese Gruppe vor allem unbefugten Zugang zu den Opfernetzwerken erhalten, indem sie die Schwächen von Microsoft Exchange ausschöpfen und mit ProxyShell in Verbindung gebracht hat, einschließlich eines Vorfalls im Oktober 2021, wenn sie das Netzwerk eines elektrischen Serviceunternehmens, das in einem ländlichen Gebiet der Vereinigten Staaten tätig ist, beeinträchtigte. und benutzte BitLockers schlechte Absicht, den Betrieb zu stoppen.

Diese mit dem IRC verbundene Gruppe besteht aus Mitarbeitern und Mitarbeitern von Najee Technology Hooshmand Futter LLC und Afcar System Yazd Company. Mansour ist Inhaber, Manager und Vorsitzender des Naje Technology Boards. Ahmad Khatib Agda (Kahatib) ist Manager und Mitglied des Afkar System Board. Zu den Arbeitern und weiteren Mitarbeitern von Najee Technology und/oder Afkar System gehören: Ali Agga-Ahmadi (Ali Ahmad); Mohammad Aga Ahmadi (Mohammed Ahmad); Mojin Mahdavi (Mehdavi); Aliakbar Rashidi-Barjini (Rashid); Amir Josein Nikaeen Ravari (Nikaeen) ; Mostafa Hazi Hossain (Mostafa); Mojtaba Haxhi Hosseyin (Mojtaba); und Mohammad Shakeri-Astijeh (Saker).

Khataib ist seit mindestens 2007 mit Afkar System verbunden und fungiert als Manager und ist ein Boardmitglied. Khatib gehört zu den Cyber-Akteurern, die unbefugten Zugriff auf die Opfernetzwerke erworben haben, um das BitLocker-Netzwerk hochzuladen und um eine Belohnung für die Entschlüsselung zu bitten. Er vermietete die Netzwerkinfrastruktur, die verwendet wurde, um die Aktivitäten dieser bösartigen Cyber-Gruppe voranzutreiben, nahm an der Verminderung der Opfernetzwerke teil und beschäftigte sich mit den Lösegeldverhandlungen mit den Opfern.

Nikaeen war zwischen 2015 und mindestens 2019 Mitarbeiter von Afkar System. Nikaeen vermietete und registrierte die Netzwerkinfrastruktur, die verwendet wurde, um die Aktivitäten dieser bösartigen Cyber-Gruppe weiterzuleiten und nahm an der Verminderung der Opfernetzwerke teil.

Ali Ahmad ist seit mindestens 2019 Mitarbeiter von Najee Technology. Rashid arbeitete mindestens seit Februar 2021 für Mansour.

Arbeitnehmer, die mit IRC-Mansour, Ali Ahmad, Mohammad Ahmad, Mahdavid, Rashid, Khatib, Nikaeen, Mostafa, Mojataba und Shackeri- von Unternehmen im Zusammenhang stehen, die mit IRC, Najee Technology und Afkar System verbunden sind, sind verantwortlich oder akcomplices in oder sind direkt oder indirekt an der globalen Ausrichtung verschiedener Netzwerke beteiligt, einschließlich kritischer Infrastruktur, Exploiting Schwachstellen, die bekannt sind, um einen ersten Zugang zu falschen vorsätzlichen Aktivitäten zu erhalten, einschließlich Lösegeldoperationen.

Mansour, Ali Ahmad, Mohammad Ahmad, Mahdavi, Rashid, Khatib, Nikaeen, Mostafa, Mojtaba und Shackeri wurden gemäß Executive Order (EO) 13694, geändert, zu verantwortlich oder Mitarbeiterinnen und Mitarbeiter ernannt, entweder durch direkte oder indirekte Einbindung einer auf der Basis von OE 13694 identifizierten möglichen Cyber-Aktivitäten.

Najee Technology wurde gemäß OE 13694, modifiziert, zur Unterstützung materieller, Sponsoring oder zur Bereitstellung finanzieller, materieller oder technologischer Unterstützung für oder zur Unterstützung von kybergestützten Aktivitäten, die gemäß OE 13694 identifiziert wurden, verändert.

Das Afkar-System wurde unter OE 13694 benannt, modifiziert, von dem Eigentum oder kontrolliert werden, oder direkt oder indirekt zu handeln, Khatib, eine Person, deren Eigentum und Eigentum aufgrund von OE 13694 gesperrt sind, geändert.

Neben den verhängten Sanktionen eröffnete das US-Justizamt für den District of New Jersey eine Anklage gegen Mansour, Khatib und Nikaeen, die gegen das Deception- und Computermissbrauchsgesetz (CFAA) verstößt, und das Plotting gegen CFAA.

Das State Rewards-Programm (RFJ) bietet eine Belohnung von bis zu $10m für Informationen, die zu Mansours Identifikation oder Aufenthaltsort, Khatib, Nikaeen oder einer anderen Person führen, die in die Richtung oder die Kontrolle eines Fremden tätig ist. Die Regierung beteiligt sich an bösartigen Cyber-Aktivitäten gegen die kritische Infrastruktur der USA gegen CFAA.

Darüber hinaus wird eine gemeinsame Beratung für die Cybersicherheit (CSA) ) aus einer analytischen Anstrengung zwischen dem Treasury Department, dem FBI, der NSA, USSCYBERCOM, dem australischen Cyber Security Centre (ACSC), dem Canadian Centre for Cyber Security (CCCS) und dem Nationalen Cyber Security Centre of the United Kingdom (NCSC) veröffentlicht, um die anhaltenden bösartigen Aktivitäten von fortgeschrittenen Spielern der laufenden Bedrohung (APT) zu unterstreichen, dass die Schätzungen der Autoragenturen mit dem IRC verbunden sind.

EFFECTS SANXION
Aufgrund des heutigen Handelns werden alle Eigenschaften und Interessen auf dem Eigentum der oben in den USA beschriebenen Personen gesperrt und OFAC gemeldet. Auch jede Person, die direkt oder indirekt im Besitz ist, einzeln oder insgesamt, 50 Prozent oder mehr von einem oder mehreren Personen blockiert wird, wird gesperrt. Alle Transaktionen von amerikanischen Personen oder innerhalb (oder Transit) der Vereinigten Staaten mit Eigentum oder Interesse an der Eigenschaft von bestimmten Personen oder gesperrt sind untersagt, es sei denn, eine von OFAC erteilte oder bestimmte Lizenz wurde von der OFAC erteilt oder ausgeschlossen. Zu den Verboten gehören die Abgabe von Beiträgen oder die Bereitstellung von Mitteln, Waren oder Dienstleistungen von, für den Vorteil einer gesperrten Person, oder die Abgabe von Beiträgen oder Leistungen einer solchen Person. Darüber hinaus können Finanzinstitute und andere, die in Transaktionen oder bestimmten Aktivitäten mit Subjekten und sanktionierten Personen tätig sind, Sanktionen ausgesetzt oder einer dauerhaften Aktion unterliegen.

Die Macht und Integrität der OFAC-Sanktionen beruht nicht nur auf der Fähigkeit von OFAC, Personen in die DSN-Liste zu ernennen und hinzuzufügen, sondern auch auf der Bereitschaft, Personen aus der DSN-Liste nach dem Gesetz zu entfernen. Der endgültige Zweck der Sanktionen ist keine Bestrafung, sondern eine positive Veränderung des Verhaltens. Für Informationen über den Suchvorgang, um von einer O-Liste FAC zu entfernen, einschließlich der DSN-Liste, finden Sie hier die häufig gestellte 897 OFAC Frage. Für detaillierte Informationen zum Prozess müssen Sie einen Antrag auf Entfernung aus der OFAC-Sanktionsliste einreichen.

Klicken Sie hier für weitere Informationen zu Personen und Personen, die heute benannt sind.

Schauen Sie sich die aktuelle Beratung von OFAC über das Risiko von möglichen Sanktionen für die Entlastung von Ransomware-Zahlungen hier an, für Informationen über die Handlungen von OFAC würde einen Vermittlerfaktor in jeder Umsetzungsaktion in Zusammenhang mit den Zahlungen von Sandsomware mit einem möglichen Risiko von Sanktionen in Betracht ziehen. Informationen über die Einhaltung der anwendbaren Sanktionen für die virtuelle Währung finden Sie hier im Stabilitätsleitfaden mit OFAC-Sanktionen für die virtuelle Währungsindustrie.