«Cuerpo de la Guardia Revolucionaria Islámica de Irán ( CGRI ) estaba operando una campaña ransomware patrocinada por el estado a través de una empresa contratista iraní llamado ‘Emen neto Pasargadas’ (PEV),» firma de seguridad cibernética Flashpoint dijo en sus conclusiones que resumen tres documentos filtrados por una entidad anónima denominada Leer My Lips o Lab Dookhtegan entre el 19 de marzo y el 1 de abril a través de su canal de Telegram.
Apodada «Señal del proyecto», se dice que la iniciativa se inició en algún momento entre finales de julio de 2020 y principios de septiembre de 2020, con la organización de investigación interna de ENP, llamada «Centro de estudios», que reunió una lista de sitios web objetivo no especificados.
Una segunda hoja de cálculo validada por Flashpoint explicó explícitamente las motivaciones financieras del proyecto, con planes para lanzar las operaciones de ransomware a fines de 2020 por un período de cuatro días entre el 18 y el 21 de octubre. Otro documento describió los flujos de trabajo, incluidos los pasos para recibir pagos de Bitcoin de víctimas de ransomware y descifrar los datos bloqueados.
No está claro de inmediato si estos ataques se llevaron a cabo según lo planeado y a quién se dirigieron.
«ENP opera en nombre de los servicios de inteligencia de Irán que brindan capacidades cibernéticas y apoyo al Cuerpo de la Guardia Revolucionaria Islámica de Irán (IRGC), la Fuerza Quds del IRGC (IRGC-QF) y el Ministerio de Inteligencia y Seguridad de Irán (MOIS)», dijeron los investigadores.
A pesar de los temas de ransomware del proyecto, los investigadores sospechan que el movimiento probablemente podría ser una «técnica de subterfugio» para imitar las tácticas, técnicas y procedimientos (TTP) de otros grupos de ransomware ciberdelincuentes motivados financieramente para hacer que la atribución sea más difícil y se mezcle mejor con la panorama de amenazas.
Curiosamente, el lanzamiento de Project Signal también coincidió con otra campaña de ransomware iraní llamada «Pay2Key», que atrapó a docenas de empresas israelíes en noviembre y diciembre de 2020. La empresa de ciberseguridad ClearSky, con sede en Tel Aviv, atribuyó la ola de ataques a un grupo llamado Fox. gatito . Dada la falta de evidencia, se desconoce qué conexión, si la hay, pueden tener las dos campañas entre sí.
Esta no es la primera vez que Lab Dookhtegan ha arrojado información crucial relacionada con las actividades cibernéticas maliciosas de Irán. En un estilo eco de los corredores de la sombra , la persona o grupo misterioso previamente se derramaron los secretos de un grupo de hackers iraní conocido como APT34 o plataforma petrolífera, incluyendo la publicación arsenal del adversario de las herramientas de hacking, junto con información sobre 66 organizaciones de víctimas y doxxing el mundo real identidades de los agentes de inteligencia del gobierno iraní.
La noticia de la segunda operación de ransomware de Irán también se produce cuando una coalición de empresas gubernamentales y tecnológicas del sector privado, llamada Ransomware Task Force, compartió un informe de 81 páginas que comprende una lista de 48 recomendaciones para detectar e interrumpir los ataques de ransomware, además de ayudar. las organizaciones se preparan y responden a tales intrusiones de manera más eficaz.