El grupo de amenaza COBALT MIRAGE de Irán lanza ataques de ransomware contra organizaciones de EE. UU.

[post-views]
mayo 17, 2022 · 3 min de lectura
El grupo de amenaza COBALT MIRAGE de Irán lanza ataques de ransomware contra organizaciones de EE. UU.

Los adversarios respaldados por el estado iraní están acelerando su ritmo al utilizar diferentes vectores de ataque y dirigirse a múltiples industrias en todo el mundo. Siguiendo los pasos de la campaña de spear-phishing lanzada por el infame grupo APT34 que difunde un nuevo backdoor Saitama, otro colectivo de hackers vinculado a Irán acapara la atención realizando ataques de ransomware contra empresas estadounidenses. Se ha observado al grupo de amenaza COBALT MIRAGE, respaldado por la nación iraní, llevando a cabo ataques motivados financieramente y campañas de espionaje, con la actividad frecuentemente involucrando operaciones de ransomware.

Detección de Ataques de Ransomware COBALT MIRAGE

Al adoptar un enfoque proactivo de defensa cibernética, las organizaciones pueden tener éxito en mantenerse al día con el panorama de amenazas en rápida evolución. Para proteger su infraestructura contra las intrusiones de COBALT MIRAGE, la plataforma de SOC Prime ha lanzado una nueva regla Sigma creada por nuestro prolífico desarrollador de Threat Bounty Kaan Yeniyol. Esta regla detecta la actividad potencial del adversario de escaneo y explotación destinada a conseguir un punto de apoyo inicial dentro del entorno de la víctima:

Ejecución de Ransomware COBALT MIRAGE Sospichosa mediante Creación de Cuenta de Usuario en Sistema Comprometido (a través de process_creation)

La regla Sigma mencionada se puede usar en 23 soluciones SIEM, EDR y XDR y está mapeada al marco MITRE ATT&CK®, abordando las tácticas de Ejecución y Persistencia con las técnicas correspondientes de Intérprete de Comandos y Scripts (T1059) y Crear Cuenta (T1136).

Con las campañas de ransomware volviéndose más avanzadas y extendidas, los profesionales de ciberseguridad buscan formas más ágiles y eficientes de resistirlas. Haga clic en el Ver Detecciones botón para acceder a los algoritmos de detección enriquecidos con contexto para amenazas críticas, incluidos los ataques de ransomware. Investigadores de ciberseguridad individuales, Ingenieros de Detección y Cazadores de Amenazas son bienvenidos a unirse a las filas del Programa Threat Bounty, permitiéndoles convertir sus habilidades profesionales en beneficios financieros mediante la contribución activa de contenido.

Ver Detecciones Únete al Programa Threat Bounty

Actividad COBALT MIRAGE: Análisis de Ciberataques

Las intrusiones de COBALT MIRAGE se dividen en dos grupos basados en los patrones de comportamiento y objetivos del adversario. El primero utiliza BitLocker y DiskCryptor para campañas de ransomware dirigidas a obtener ganancias financieras, mientras que el segundo se especializa principalmente en ciberataques para conseguir acceso inicial y recopilar inteligencia.

Los ataques de COBALT MIRAGE solían involucrar actividad de escaneo y explotación con las campañas infames de 2021 explotando las vulnerabilidades de Fortinet FortiOS y armando ProxyShell and Log4j vulnerabilidades para obtener acceso remoto a la red de la víctima. Después de una avalancha de los ataques antes mencionados, CISA y FBI emitieron la alerta cibernética conjunta correspondiente notificando a las organizaciones estadounidenses del grupo de hackers respaldado por Irán que obtiene el acceso inicial a los sistemas comprometidos y despliega ransomware, lo que puede atribuirse a COBALT MIRAGE.

Según los investigadores de ciberseguridad, la actividad de COBALT MIRAGE puede estar vinculada a otro colectivo de hackers respaldado por Irán, rastreado como COBALT ILLUSION, que aprovecha activamente el phishing como el principal vector de ataque para conseguir acceso inicial. Además, algunas trazas de la actividad de COBALT MIRAGE han sido identificadas como semejantes a los patrones de comportamiento de otros dos grupos de hackers vinculados a Irán, PHOSPHORUS y TunnelVision.

¿Buscando nuevas formas de potenciar sus capacidades de defensa cibernética mientras ahorra horas en investigación de detección de amenazas y desarrollo de contenido? Únase a la plataforma Detection as Code de SOC Prime para acceder al contenido de detección más actualizado enriquecido con inteligencia sobre ciberamenazas y alineado con MITRE ATT&CK® para impulsar su efectividad en ciberseguridad.

Tabla de Contenidos

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.

Publicaciones relacionadas