WASHINGTON (AP) – Hackers vinculados al gobierno iraní han estado atacando a una “amplia gama de víctimas” dentro de Estados Unidos, incluso desplegando ransomware, según un aviso emitido el miércoles por funcionarios estadounidenses, británicos y australianos.
El aviso dice que en los últimos meses, Irán ha aprovechado las vulnerabilidades informáticas expuestas por los hackers antes de que pudieran ser reparadas y ha apuntado a entidades de los sectores del transporte, la atención sanitaria y la salud pública. Los atacantes aprovecharon el hackeo inicial para realizar operaciones adicionales, como la exfiltración de datos, el ransomware y la extorsión, según el aviso. El grupo ha utilizado la misma vulnerabilidad de Microsoft Exchange en Australia, según las autoridades.
La advertencia es notable porque, aunque los ataques de ransomware siguen siendo frecuentes en Estados Unidos, la mayoría de los más importantes del año pasado se han atribuido a bandas de hackers criminales con sede en Rusia y no a hackers iraníes.
Los funcionarios del gobierno no son los únicos que notan la actividad iraní: El gigante tecnológico Microsoft anunció el martes que había visto a seis grupos diferentes en Irán desplegando ransomware desde el año pasado.
Según Microsoft, uno de los grupos dedica mucho tiempo y energía a intentar establecer una relación con sus víctimas antes de atacarlas con campañas de spear-phishing. El grupo utiliza falsas invitaciones a conferencias o solicitudes de entrevistas y con frecuencia se hace pasar por funcionarios de grupos de reflexión en Washington, DC, como tapadera, dijo Microsoft.
Una vez que se establece la relación y se envía un enlace malicioso, los iraníes son muy insistentes en tratar de que sus víctimas hagan clic en él, dijo James Elliott, miembro del Centro de Inteligencia de Amenazas de Microsoft.
“Estos tipos son el mayor dolor de cabeza. Cada dos horas están enviando un correo electrónico”, dijo Elliott en la conferencia de ciberseguridad Cyberwarcon el martes.
A principios de este año, Facebook anunció que había descubierto que los hackers iraníes utilizaban “sofisticados personajes falsos en línea” para generar confianza con los objetivos y conseguir que hicieran clic en enlaces maliciosos, y a menudo se hacían pasar por reclutadores de empresas de defensa y aeroespaciales.
Los investigadores de la empresa estadounidense de ciberseguridad Crowdstrike dijeron que ellos y sus competidores comenzaron a ver este tipo de actividad iraní el año pasado.
Los ataques de ransomware iraníes, a diferencia de los patrocinados por el gobierno de Corea del Norte, no están diseñados para generar ingresos sino para el espionaje, para sembrar la desinformación, para acosar y avergonzar a los enemigos -Israel, entre ellos- y para desgastar esencialmente a sus objetivos, dijeron los investigadores de Crowdstrike en el evento Cyberwarcon.
“Si bien estas operaciones utilizan notas de rescate y sitios de filtración dedicados que exigen criptodivisas duras, no vemos ningún esfuerzo viable de generación de moneda real”, dijo la directora de análisis de amenazas globales de Crowdstrike, Kate Blankenship.
Crowdstrike considera que Irán marca la tendencia en esta novedosa “forma baja” de ciberataque, que suele consistir en paralizar una red con un ransomware, robar información y luego filtrarla en línea. Los investigadores llaman a este método “bloquear y filtrar”. Es menos visible, menos costoso y “ofrece más espacio para la negación”, dijo Blankenship.