Cyberattacchi, L'ONU offre $10 milioni di ricompensa: Aiutaci a identificare gli hacker

Gli individui e le entità designate oggi sono tutti legati al Corpo della Guardia Rivoluzionaria Islamica dell'Iran (IRGC). Questa azione continua una serie di appuntamenti OFAC mirati a proteggere le persone americane dall'attività del ransomware, facilitatori di attività ransomware e altri criminali informatici.

Lo State Rewards for Justice Programme offre una ricompensa di fino a $10m per informazioni che portano all'identificazione o alla posizione di ogni persona che partecipa alle attività informatiche dannose contro l'infrastruttura critica degli Stati Uniti.

“Ransomware attori e altri criminali informatici, indipendentemente dalla loro origine nazionale o base di operazioni, hanno mirato le imprese e le infrastrutture critiche in tutto il consiglio, minacciando direttamente la sicurezza fisica e l'economia degli Stati Uniti e di altri paesi Traduzione: Continueremo ad intraprendere azioni coordinate con i nostri partner globali per combattere e prevenire le minacce di sandsomware, compresi quelli relativi a IRC±x3>.

Gli incidenti ransomware hanno tagliato i servizi e le imprese criticamente a livello globale, tra cui scuole, uffici governativi, ospedali e servizi di emergenza, trasporti, energia e aziende alimentari. I pagamenti riportati dei ranasomware negli Stati Uniti hanno raggiunto oltre $590m nel 2021, rispetto ad un totale di $416 milioni nel 2020. Il governo degli Stati Uniti stima che questi pagamenti rappresentano solo una parte dei danni economici causati da attività cibernetiche dannose. Oltre a milioni di dollari pagati direttamente in ricompensa e ancorati per la risposta e il recupero, la rottura nei settori critici evidenzia gli obiettivi di chi cerca di armare la tecnologia per il guadagno personale, danneggiare la nostra economia e le aziende dannose, le famiglie e gli individui dipendenti da esso per il loro sostentamento, il risparmio e il futuro.

L'azione di oggi mostra l'impegno del governo americano di interrompere le sue infrastrutture e gli attori del ranomware. Gli Stati Uniti non tollereranno l'attività cibernetica dannosa, comprese le attività di divisione cybercrimine, vittime della spina dorsale dell'economia americana e dell'infrastruttura critica.

ATTIVITÀ DI CIBERNET LIBERA CON IGRC
Oggi, OFAC, nell'ambito di un'intera risposta del governo, ha preso azione contro un gruppo di attori informatici dannosi iraniani che hanno compromesso le reti basate negli Stati Uniti e in altri paesi da almeno il 2020. Questo gruppo IRC-collegato è noto per l'utilizzo di debolezze software per svolgere le loro attività ransomware, così come per essere coinvolti in accesso al computer non autorizzato, filtrando i dati e altre attività cyber maligni. Le società private di sicurezza informatica prendono appuntamenti di routine per specifiche campagne informatiche, e mentre le persone sanzionate oggi non sono direttamente collegate a un gruppo chiamato minacce avanzate, alcune delle loro attività cyber dannose possono essere in parte attribuite ad alcuni gruppi di intervento designati, come “APT 35 , “Sex2>, “Kitten Nemesis”, “Fosfor” e <x6 Vision.

Questo gruppo ha lanciato vaste campagne contro organizzazioni e funzionari di tutto il mondo, in particolare per la difesa degli Stati Uniti e del Medio Oriente, il personale diplomatico e governativo, così come le industrie private, tra cui i media, l'energia, i servizi aziendali e le telecomunicazioni.

Nel febbraio 2021, questo gruppo di attori informatici dannosi ha vittima di un comune del New Jersey attraverso una rete di computer utilizzando una specifica vulnerabilità a Fortine. Questi attori hanno usato il loro accesso per creare account non autorizzati, scalare i loro privilegi e effettuare movimenti laterali in altre parti della rete. Hanno anche usato un rapido rappresentante inverso su uno dei server municipali per stabilire un accesso remoto continuo a un determinato dominio registrato da Mansour Ahmadi (Mansour). Il gruppo ha anche stabilito strumenti come Mimikatz e Filezilla per avanzare la loro attività dannosa.

Nel mese di marzo e aprile 2021, questo gruppo di cyber viziosi ha lanciato il primo gruppo noto delle loro attività di crittografia compromettendo le reti, attivando Microsoft BitLocker senza autorizzazione e mantenendo le chiavi per l'acquisizione per riscatto. Durante questo periodo, un certo numero di piccole imprese sono state influenzate, tra cui uno studio legale, una società di contabilità e un imprenditore di costruzione.

Nel giugno del 2021, il gruppo ottenne l'accesso non autorizzato ai sistemi di controllo e di intelligence di supervisione collegati a un ospedale statunitense per bambini. Dopo che il gruppo ha compromesso la rete, hanno creato account non autorizzati, privilegi escalati, spostato i lati attraverso la rete, stabilito accesso continuato, dati ekfilron e codificato almeno un dispositivo con BitLocker. I partner delle forze dell'ordine del governo degli Stati Uniti hanno dato un rapporto all'ospedale dei bambini prima di avere alcun impatto sulla cura dei pazienti o sui servizi medici.

Da giugno ad agosto 2021, il gruppo ha accelerato la loro attività dannosa mirando a una vasta gamma di vittime statunitensi, tra cui fornitori di trasporti, pratiche sanitarie, fornitori di servizi di emergenza e istituzioni educative. Le agenzie governative degli Stati Uniti sono state in grado di avvertire potenziali vittime di questa attività e hanno impedito o facilitato danni o compromessi delle reti di computer in molti casi.

Dal 2021 al giorno d'oggi, questo gruppo ha ottenuto l'accesso principalmente non autorizzato alle reti delle vittime sfruttando le debolezze di Microsoft Exchange e relative a ProxyShell, compreso un incidente nell'ottobre 2021 quando hanno compromesso la rete di una società di servizi elettrici che serve in una zona rurale degli Stati Uniti. e usato l'intenzione di BitLocker per fermare le operazioni.

Questo gruppo collegato a IRC è costituito da dipendenti e collaboratori di Najee Technology Hooshmand Futter LLC e Afcar System Yazd Company. Mansour è proprietario, direttore e presidente del Naje Technology Board. Ahmad Khatib Agda (Kahatib) è il direttore e membro della Afkar System Board. Lavoratori e collaboratori aggiuntivi di Najee Technology e/o Afkar System includono: Ali Agga-Ahmadi (Ali Ahmad); Mohammad Aga Ahmadi (Mohammed Ahmad); Mojin Mahdavi (Mehdavi); Aliakbar Rashidi-Barjini (Rashid); Amir Josein Nikaeenvari Rabastaker; Mostafa Habasti

Khataib è stato collegato a Afkar System da almeno 2007 e funge da manager ed è membro del consiglio. Khatib è tra gli attori informatici che hanno acquisito accesso non autorizzato alle reti delle vittime per caricare la rete BitLocker e chiedere una ricompensa per le chiavi di decifrazione. Ha affittato l'infrastruttura di rete utilizzata per far avanzare le attività di questo gruppo cyber maligno, ha partecipato a compromettere le reti delle vittime e impegnato nelle trattative di riscatto con le vittime.

Nikaeen è stato un dipendente di Afkar System tra il 2015 e almeno il 2019. Nikaeen ha affittato e registrato l'infrastruttura di rete utilizzata per promuovere le attività di questo gruppo cyber vizioso e ha partecipato a compromettere le reti delle vittime.

Ali Ahmad è dipendente della Najee Technology da almeno il 2019. Rashid lavorò per Mansour almeno dal febbraio 2021.

I lavoratori collegati a IRC-Mansour, Ali Ahmad, Mohammad Ahmad, Mahdavid, Rashid, Khatib, Nikaeen, Mostafa, Mojataba e Shackeri- di aziende associate a IRC, Najee Technology e Afkar System sono responsabili o complici in, o sono coinvolti, direttamente o indirettamente, nell'accesso globale di diverse reti, tra cui il riscatto critico

Mansour, Ali Ahmad, Mohammad Ahmad, Mahdavi, Rashid, Khatib, Nikaeen, Mostafa, Mojtaba e Shackeri sono stati nominati in conformità con l'Ordine Esecutivo (EO) 13694, cambiato, per essere responsabile o collaboratore, o coinvolgendo, direttamente o indirettamente, una possibile attività cibernetica identificata alla base di OE 13694, cambiato.

Najee Technology è stata assegnata in linea con OE 13694, modificata, per aiutare materialmente, sponsorizzare o fornire supporto finanziario, materiale o tecnologico per, o beni o servizi per o a supporto di, attività cyber-abilitata identificata in linea con OE 13694, cambiata.

Il sistema Afkar è stato designato sotto OE 13694, modificato, per essere di proprietà o controllato da, o per agire su entrambi i nomi, direttamente o indirettamente, Khatib, una persona i cui interessi di proprietà e di proprietà sono bloccati in base a OE 13694, cambiato.

Oltre a imporre sanzioni, l'Ufficio del Procuratore degli Stati Uniti per il Distretto di New Jersey ha aperto un indictment accusando Mansour, Khatib e Nikaeen di aver violato la legge di abuso dell'inganno e del computer (CFAA) e tramando per violare CFAA.

Il programma State Rewards (RFJ) offre una ricompensa fino a $10m per informazioni che portano all'identificazione di Mansour o dove si trova, Khatib, Nikaeen, o qualsiasi altra persona che agisce nella direzione o nel controllo di uno sconosciuto. Il governo, partecipa alle attività informatiche dannose contro le infrastrutture critiche degli Stati Uniti in opposizione a CFAA.

Inoltre, un consiglio congiunto per la sicurezza informatica (CSA) ) deriva da uno sforzo analitico tra il Dipartimento del Tesoro, l'FBI, l'NSA, USSCYBERCOM, l'Australia's Cyber Security Centre (ACSC), il Canadian Centre for Cyber Security (CCCS) e il National Cyber Security Centre del Regno Unito (NCSC) è stato pubblicato per evidenziare le attività dannose in corso da parte di giocatori avanzati della minaccia in corso (APT) che le agenzie di autore stima sono connesse a

EFFETTI SANXION
Come risultato dell'azione di oggi, tutte le proprietà e gli interessi sulla proprietà degli individui sopra descritti negli Stati Uniti sono bloccati e segnalati a OFAC. Inoltre, qualsiasi soggetto direttamente o indirettamente di proprietà, individualmente o in totale, 50 per cento o più da una o più persone bloccate sono anche bloccati. Tutte le transazioni da parte di persone americane o all'interno (o transito) degli Stati Uniti che coinvolgono qualsiasi proprietà o interesse per la proprietà di persone designate o bloccate sono vietate a meno che non siano autorizzate da una licenza generale o specifica rilasciata dall'OFAC o escluse. I divieti includono l'erogazione di qualsiasi contributo o l'offerta di fondi, beni o servizi da, per il beneficio di qualsiasi persona bloccata, o l'erogazione di contributi o di fondi, beni o servizi da qualsiasi persona del genere. Inoltre, gli istituti finanziari e altri impegnati in operazioni o attività specifiche con soggetti e individui sanzionati possono essere esposti a sanzioni o soggetti a un'azione permanente.

La potenza e l'integrità delle sanzioni OFAC derivano non solo dalla capacità dell'OFS di nominare e aggiungere persone alla lista DSN, ma anche dalla sua disponibilità a rimuovere le persone dall'elenco DSN in conformità con la legge. Lo scopo finale delle sanzioni non è la punizione, ma portare un cambiamento positivo nel comportamento. Per informazioni sul processo di ricerca da rimuovere da un FAC O-list, incluso l'elenco DSN, si prega di fare riferimento alla domanda 897 OFAC spesso fatto qui. Per informazioni dettagliate sul processo, è necessario presentare una richiesta di rimozione dalla lista delle sanzioni OFAC.

Clicca qui per maggiori informazioni su individui e soggetti designati oggi.

Guardate la consulenza aggiornata di OFAC sul rischio di possibili sanzioni per l'asing dei pagamenti di Ransomware qui, perché le informazioni sulle azioni dell'AC considererebbero un fattore facilitatore in qualsiasi azione di attuazione legata ai pagamenti di sandsomware con un possibile rischio di sanzioni. Per informazioni sul rispetto delle sanzioni applicabili per la valuta virtuale, vedere la Guida alla stabilità con le sanzioni OFAC per l'industria monetaria virtuale qui.