Los piratas informáticos patrocinados por el gobierno iraní están actuando como intermediarios y corredores de acceso inicial para atacar entornos en nombre de bandas de ransomware con motivaciones económicas, incluidos grandes nombres como ALPHV/BlackCat, advirtió la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA). En un aviso publicado esta semana, CISA y sus socios encargados de hacer cumplir la ley, incluido el FBI, revelaron que el grupo iraní de amenazas persistentes avanzadas (APT), identificado de diversas formas como Pioneer Kitten, UNC757, Parisite, Rubidium y Lemon Sandstorm, ha estado realizando operaciones cibernéticas maliciosas destinadas a implementar ataques de ransomware para obtener, mantener y desarrollar el acceso a la red. “Estas operaciones ayudan a los actores cibernéticos maliciosos a seguir colaborando con actores afiliados para seguir implementando ransomware”, dijo la CISA. “Este aviso describe la actividad de un grupo específico de actores cibernéticos iraníes que ha llevado a cabo un gran volumen de intentos de intrusión en la red informática contra organizaciones estadounidenses desde 2017 y tan recientemente como agosto de 2024. Las organizaciones comprometidas incluyen escuelas, gobiernos municipales, instituciones financieras e instalaciones de atención médica con sede en Estados Unidos”. El FBI ya había observado al grupo intentando monetizar su acceso a las organizaciones de víctimas en los mercados clandestinos, y ahora evalúa que un “porcentaje significativo” de su actividad –al menos en los EE.UU.– se centra en vender este acceso a bandas de ciberdelincuentes de habla rusa. Pero ahora hay pruebas de que esta relación parece ser aún más profunda. De hecho, los federales ahora creen que Pioneer Kitten ha estado “colaborando directamente” con afiliados de ransomware para recibir una parte de los pagos de rescate a cambio de su ayuda. “Estos actores han colaborado con los afiliados de ransomware NoEscape, RansomHouse y ALPHV (también conocido como BlackCat)”, dijo la CISA. “La participación de los actores cibernéticos iraníes en estos ataques de ransomware va más allá de proporcionar acceso; trabajan en estrecha colaboración con los afiliados de ransomware para bloquear las redes de las víctimas y elaborar estrategias para extorsionar a las víctimas. “El FBI evalúa que estos actores no revelan su ubicación en Irán a sus contactos de afiliados de ransomware y son intencionadamente vagos en cuanto a su nacionalidad y origen”. Frustrando el Gatito Un ataque de ransomware habilitado por Pioneer Kitten generalmente parece comenzar con la explotación de servicios externos remotos en activos que dan a Internet. En las últimas semanas, se ha observado que la banda usa Shodan para identificar direcciones IP que alojan Check Point Security Gateways vulnerables a CVE-2024-24919, pero también se sabe que ha explotado CVE-2024-3400 en Palo Alto Networks PAN-OS y GlobalProtect VPN, así como vulnerabilidades más antiguas en Citrix y F5 BIG-IP. Abordar estos problemas debería ser la prioridad número uno para los equipos de seguridad en organizaciones en riesgo. Una vez superado este primer obstáculo, el modus operandi del grupo es en la mayoría de los aspectos bastante estándar: busca promover sus objetivos capturando credenciales de inicio de sesión en dispositivos Netscaler a través de un webshell implementado, eleva sus privilegios secuestrando o creando nuevas cuentas, a menudo con exenciones a las políticas de confianza cero, coloca puertas traseras para cargar malware e intenta desactivar el software antivirus y reducir la configuración de seguridad. También establece una tarea diaria de servicio de Windows para la persistencia mientras se produce la mitigación. En lo que respecta al comando y control, se sabe que Pioneer Kitten utiliza el programa de acceso remoto AnyDesk y permite a los servidores utilizar Windows PowerShell Web Access. También favorece a Ligolo, una herramienta de tunelización de código abierto, y a NGROK para crear conexiones salientes. El aviso completo de CISA contiene más detalles técnicos sobre su cadena de ataque. ¿Pioneer Kitten se ha vuelto rebelde? Curiosamente, las autoridades estadounidenses también dijeron que las actividades de ransomware de Pioneer Kitten pueden no estar oficialmente sancionadas por Teherán, y los propios miembros del grupo, que utilizan el nombre de la empresa iraní Danesh Novin Sahand como empresa de TI encubierta, han expresado ocasionalmente su preocupación de que el gobierno iraní pueda estar monitoreando sus actividades de lavado de dinero. El cometido oficial de Pioneer Kitten, dijo CISA, parece ser realizar campañas de piratería y filtración, robando datos y publicándolos, no para ganar dinero, sino para socavar a sus víctimas como parte de las operaciones de información iraníes. Esta actividad parece haberse centrado en gran medida en las víctimas de Israel y otras potencias regionales de interés para Irán, incluidos Azerbaiyán y los Emiratos Árabes Unidos.