El grupo de amenaza COBALT MIRAGE de Irán lanza ataques de ransomware contra organizaciones de EE. UU.
Tabla de contenidos:
Los adversarios respaldados por el estado iraní están acelerando su ritmo al utilizar diferentes vectores de ataque y dirigirse a múltiples industrias en todo el mundo. Siguiendo los pasos de la campaña de spear-phishing lanzada por el infame grupo APT34 que difunde un nuevo backdoor Saitama, otro colectivo de hackers vinculado a Irán acapara la atención realizando ataques de ransomware contra empresas estadounidenses. Se ha observado al grupo de amenaza COBALT MIRAGE, respaldado por la nación iraní, llevando a cabo ataques motivados financieramente y campañas de espionaje, con la actividad frecuentemente involucrando operaciones de ransomware.
Detección de Ataques de Ransomware COBALT MIRAGE
Al adoptar un enfoque proactivo de defensa cibernética, las organizaciones pueden tener éxito en mantenerse al día con el panorama de amenazas en rápida evolución. Para proteger su infraestructura contra las intrusiones de COBALT MIRAGE, la plataforma de SOC Prime ha lanzado una nueva regla Sigma creada por nuestro prolífico desarrollador de Threat Bounty Kaan Yeniyol. Esta regla detecta la actividad potencial del adversario de escaneo y explotación destinada a conseguir un punto de apoyo inicial dentro del entorno de la víctima:
La regla Sigma mencionada se puede usar en 23 soluciones SIEM, EDR y XDR y está mapeada al marco MITRE ATT&CK®, abordando las tácticas de Ejecución y Persistencia con las técnicas correspondientes de Intérprete de Comandos y Scripts (T1059) y Crear Cuenta (T1136).
Con las campañas de ransomware volviéndose más avanzadas y extendidas, los profesionales de ciberseguridad buscan formas más ágiles y eficientes de resistirlas. Haga clic en el Ver Detecciones botón para acceder a los algoritmos de detección enriquecidos con contexto para amenazas críticas, incluidos los ataques de ransomware. Investigadores de ciberseguridad individuales, Ingenieros de Detección y Cazadores de Amenazas son bienvenidos a unirse a las filas del Programa Threat Bounty, permitiéndoles convertir sus habilidades profesionales en beneficios financieros mediante la contribución activa de contenido.
Ver Detecciones Únete al Programa Threat Bounty
Actividad COBALT MIRAGE: Análisis de Ciberataques
Las intrusiones de COBALT MIRAGE se dividen en dos grupos basados en los patrones de comportamiento y objetivos del adversario. El primero utiliza BitLocker y DiskCryptor para campañas de ransomware dirigidas a obtener ganancias financieras, mientras que el segundo se especializa principalmente en ciberataques para conseguir acceso inicial y recopilar inteligencia.
Los ataques de COBALT MIRAGE solían involucrar actividad de escaneo y explotación con las campañas infames de 2021 explotando las vulnerabilidades de Fortinet FortiOS y armando ProxyShell and Log4j vulnerabilidades para obtener acceso remoto a la red de la víctima. Después de una avalancha de los ataques antes mencionados, CISA y FBI emitieron la alerta cibernética conjunta correspondiente notificando a las organizaciones estadounidenses del grupo de hackers respaldado por Irán que obtiene el acceso inicial a los sistemas comprometidos y despliega ransomware, lo que puede atribuirse a COBALT MIRAGE.
Según los investigadores de ciberseguridad, la actividad de COBALT MIRAGE puede estar vinculada a otro colectivo de hackers respaldado por Irán, rastreado como COBALT ILLUSION, que aprovecha activamente el phishing como el principal vector de ataque para conseguir acceso inicial. Además, algunas trazas de la actividad de COBALT MIRAGE han sido identificadas como semejantes a los patrones de comportamiento de otros dos grupos de hackers vinculados a Irán, PHOSPHORUS y TunnelVision.
¿Buscando nuevas formas de potenciar sus capacidades de defensa cibernética mientras ahorra horas en investigación de detección de amenazas y desarrollo de contenido? Únase a la plataforma Detection as Code de SOC Prime para acceder al contenido de detección más actualizado enriquecido con inteligencia sobre ciberamenazas y alineado con MITRE ATT&CK® para impulsar su efectividad en ciberseguridad.