Em um comunicado conjunto com Reino Unido e Austrália, os EUA alertaram que organizações responsáveis pela infraestrutura crítica do país norte-americano estão sendo alvo de hackers apoiados pelo governo iraniano.
Segundo a nota, os invasores estariam explorando vulnerabilidades em produtos da Microsoft e Fortinet. Apesar das empresas já terem identificado e corrigido os problemas, nem todos os usuários instalaram as atualizações.
A declaração foi assinada pelos seguintes órgãos: FBI, US Cybersecurity and Infrastructure Security Agency (CISA), National Cyber Security Center do Reino Unido e Australian Cyber Security Center.
A informação é de que os cibercriminosos não estão focados em uma única vítima específica, mas em diferentes setores ligados à infraestrutura dos EUA, como transporte e saúde pública, além de algumas organizações australianas.
Uma das preocupações apontadas no comunicado é a possibilidade desses grupos se aproveitarem do acesso indevido para realizar operações como roubo ou criptografia de dados, ransomware e extorsão.
Ataques ransomware
Apesar do alerta ter sido divulgado esta semana, o FBI e a CISA vêm observando as ações dos hackers há meses. As vulnerabilidades exploradas no sistema operacional da Fortinet, por exemplo, vêm sendo acompanhadas desde março, enquanto que os ataques associados ao Microsoft Exchange têm sido examinados desde outubro.
Isso indica que o grupo conta com uma estratégia planejada para executar o ataque, obtendo acesso inicial aos sistemas e prosseguindo para outras operações que incluem ransomware.
No mês de maio, os hackers invadiram um município dos EUA, criando uma conta para explorar mais a fundo a rede comprometida. Apenas um mês depois, o grupo atacou um hospital especializado em pediatria.
O comunicado alerta que os cibercriminosos podem ter criado novas contas de usuário em controladores de domínio, servidores, estações de trabalho e diretórios ativos de redes que foram comprometidas.
Algumas dessas contas inclusive são similares a contas existentes, o que significa que os nomes de usuários utilizados pelos hackers variam de acordo com cada organização. O comunicado alerta, no entanto, para que as equipes de segurança se atentem a nomes como Support, Help, elie e WADGUtilityAccount.
Ameaças de cibersegurança ligadas ao Irã
O alerta emitido pelos EUA em conjunto com o Reino Unido e a Austrália representa apenas a ameaça de cibersegurança mais recente associada ao governo iraniano. Ainda esta semana, a Microsoft já havia denunciado o grupo Phosphorous, também ligado ao Irã, que vem utilizando ataques ransomware para lucrar ou causar disrupções em adversários.
No início do ano, o Phosphorus examinou milhões de endereços IP em busca de sistemas FortiOS que ainda não haviam instalado as atualizações de segurança para o CVE-2018-13379.
Esta falha, especificamente, permitia que os hackers obtivessem credenciais utilizadas para acessar os servidores de forma remota. Como resultado, o grupo conseguiu coletar credenciais de mais de 900 servidores da Fortinet nos EUA, Europa e Israel.
De acordo com a Microsoft, o Phosphorus é apenas um dos seis grupos de cibercriminosos que a empresa vem observando nos últimos 14 meses e que utiliza ataques ransomware para alcançar objetivos estratégicos.
Ainda segundo a companhia, as ações foram planejadas para que os ataques ocorressem em intervalos de seis a oito semanas, em média.
