
Die Forscher zeigen, wie Agrius mithilfe von Wipern und Ransomware Ziele im Nahen Osten ins Visier nimmt
Ein neuer Bedrohungsakteur, den SentinelLabs mit dem Namen „Agrius“ bezeichnet, wurde Anfang 2020 bei seinen Aktivitäten in Israel beobachtet. Eine Analyse dessen, was auf den ersten Blick wie eine Ransomware-Attacke aussah, enthüllte neue Varianten von Wipern (Löschprogramme), die in einer Reihe von destruktiven Angriffen gegen israelische Ziele eingesetzt wurden. Die Betreiber hinter den Angriffen tarnten ihre Aktivitäten absichtlich als Ransomware-Angriffe, welche unter anderem mit dem Wiper DEADWOOD (auch bekannt als Detbosit) durchgeführt wurden.
Agrius ist eine neue Gruppierung, die nach Einschätzung der Forscher wahrscheinlich iranischen Ursprungs ist, und vor allem Spionage- und Störaktivitäten im Nahen Osten durchführt. Die Gruppe nutzt sowohl eigene Technologie als auch öffentlich verfügbare offensive Tools, um eine Vielzahl von Organisationen im Nahen Osten anzugreifen. In einigen Fällen nutzte die Gruppe ihren Zugang, um zerstörerische Wiper-Malware einzusetzen, in anderen Fällen eine maßgeschneiderte Ransomware. In Anbetracht dessen scheint es unwahrscheinlich, dass Agrius ein finanziell motivierter Bedrohungsakteur ist.
Vom Wiper zur Ransomware
Einer der bei dem Angriff verwendeten Wiper mit dem Namen „Apostle“ wurde später in eine voll funktionsfähige Ransomware umgewandelt, die die ursprünglichen Wiper-Funktionen ersetzt. Die im Programm enthaltene Nachricht deutet darauf hin, dass der Angriff auf eine kritische, staatliche Einrichtung in den Vereinigten Arabischen Emiraten gerichtet war. Die Ähnlichkeit mit der Wiper-Version sowie die Art des Ziels im Zusammenhang mit regionalen Konflikten lassen vermuten, dass die dahinterstehenden Betreiber Ransomware wegen ihrer Fähigkeit zum Herbeiführen von System- und Netzwerkstörungen eingesetzt haben.
Die Analyse der Apostle-Malware bietet einen seltenen Einblick in die Verwendung von Ransomware als Werkzeug zur offensiven Störung von Systemen und zieht eine klare Grenze zwischen dem, was als Wiper-Malware begann und einer voll funktionsfähigen Ransomware. Aufgrund der technischen Analyse der Tools und der Angriffsinfrastruktur gehen die Forscher davon aus, dass die Angriffe von einer mit dem Iran verbundenen Bedrohungsgruppe durchgeführt wurden. Es wurden zwar einige Verbindungen zu bekannten iranischen Akteuren festgestellt, aber die TTPs und Tools scheinen für die Aktivitäten dieser Gruppe einzigartig zu sein.
Um in einem ausführlichen Report mehr über die Gruppierung Agrius und technische Details zu der eingesetzten Malware zu erfahren, besuchen Sie bitte die Seite von SentinelLabs unter folgendem Link: https://labs.sentinelone.com/from-wiper-to-ransomware-the-evolution-of-agrius/
Fachartikel

400.000 DMARC-Boost nach Microsofts Update für Absender mit hohem Volumen

Ausgewogenes Verhältnis zwischen Notfallwiederherstellung, Backup-Systemen und Sicherheit

Über 100 schädliche Chrome-Erweiterungen entdeckt – getarnt als KI-Tools, VPNs und Krypto-Helfer

Unit 42 warnt: Autonome KI revolutioniert Tempo und Taktik von Cyberangriffen

Cybersicherheit in der Energiebranche: Mehr als die Hälfte der führenden Öl- und Gasunternehmen von Datenpannen betroffen
Studien

Unternehmen blockieren zunehmend GenAI-Tools – DNSFilter-Studie zeigt wachsende Sicherheitsbedenken

Weltweite Investitionen in Quantencomputing nehmen branchenübergreifend zu

Princeton-Forscher warnen vor fatalen KI-Angriffen im Web3-Umfeld

Führungskräfte ohne KI-Wissen? Gartner-Umfrage offenbart Sorgen der CEOs

Schweigen über KI-Erfolge: Was eine neue Ivanti-Studie offenbart
Whitepaper

Russische Cyberangriffe auf westliche Logistik: Deutsche Behörden warnen vor GRU-Einheit 26165

BEC- und FTF-Angriffe – keine andere Cyberbedrohung hat 2024 für mehr Schaden gesorgt

100 Tage bis zum Inkrafttreten des Data Act: Deutsche Unternehmen kaum vorbereitet

Weltweiter Sicherheitslagebericht zeigt dringenden Handlungsbedarf: Vernetzte Prozesse als Schlüssel

BSI warnt: Energieversorgung braucht stärkere Cybersicherheit
Hamsterrad-Rebell

Insider – die verdrängte Gefahr

Sicherer SAP-Entwicklungsprozess: Onapsis Control schützt vor Risiken

Das CTEM-Framework navigieren: Warum klassisches Schwachstellenmanagement nicht mehr ausreicht

Cybersicherheit im Mittelstand: Kostenfreie Hilfe für Unternehmen
