Empresa iraniana hospeda resmas de ransomware e grupos APT

Views: 148
0 0
Read Time:3 Minute, 2 Second

A Cloudzy, supostamente uma empresa americana, embora com raízes profundas no Irã, supostamente oferece serviços de comando e controle para mais de 20 atores de estado-nação e principais gangues de ransomware.

De acordo com  uma pesquisa recente  divulgada pelo fornecedor de segurança Halcyon, Cloudzy é um provedor de comando e controle (C2P) para grupos de ameaças persistentes avançadas (APT) vinculados a entidades governamentais na China, Irã, Coreia do Norte, Rússia, Índia, Paquistão e Vietnã .

Cloudzy com uma chance de ransomware

Halcyon alegou que até 60% da atividade da Cloudzy é de natureza maliciosa, com o provedor de serviços aceitando criptomoedas em troca do uso anônimo de seus serviços Virtual Private Server (VPS) Remote Desktop Protocol (RDP).

Os grupos APT que usam os serviços da Cloudzy são relacionados ao Irã:  APT 34 , também conhecido como Muddy Water e OilRig; APT 33 , também conhecido como Elfin; e o  grupo Bohrium/RealDoll  . Outros clientes da Cloudzy são grupos ligados a ataques de ransomware em hospitais e organizações de saúde, bem como ao desenvolvimento e distribuição de spyware.

Jon Miller, CEO e co-fundador da Halcyon, diz que geralmente há muito trabalho KYC (conheça seu cliente) feito pelos ISPs, e os principais ISPs farão muito KYC e detecção de fraudes. KYC é uma série de diretrizes e regulamentos em serviços financeiros que exigem que os profissionais verifiquem a identidade, adequação e riscos envolvidos na manutenção de um relacionamento comercial com um cliente.

O relatório da Halcyon afirmou que, mesmo que a Cloudzy não tivesse conhecimento da alta frequência e volume do tráfego malicioso que passa por sua infraestrutura alugada, danos significativos ainda foram causados ​​como resultado de suas políticas.

Miller diz que a Halcyon entrou em contato com a Cloudzy por e-mail para informá-los sobre como sua infraestrutura está sendo usada nesses ataques. “Essencialmente, eles nos ignoraram e isso nos deixou curiosos”, diz ele. ” Então, investigamos Cloudzy porque mostrou que eles estavam fazendo algo desagradável. Por que você ignoraria isso?”

À medida que a Halcyon se aprofundava nas informações da empresa, encontrou registros comerciais separados em Wyoming, Nova York e Nevada.

Ao examinar os funcionários da Cloudzy, Halcyon foi capaz de descobrir pessoas que trabalhavam em Teerã ou pareciam ser completamente fictícias. Eles identificaram oito funcionários, todos os quais disseram em seus perfis de mídia social que frequentaram universidades iranianas. Também houve cruzamento de funcionários da Cloudzy com pessoas que tinham os mesmos nomes e funções de funcionários da empresa iraniana abrNOC.

Coincidência ou não, tanto a Cloudzy quanto a abrNOC começaram a atender clientes em 2008; ambas as empresas ofereceram serviços de hospedagem e VPS em seu lançamento.

Miller diz que um problema aqui é que a Cloudzy é uma empresa iraniana que se apresenta como uma empresa americana legítima. Ele diz que quaisquer ações que Cloudzy tomasse cairiam sob uma lei local “e isso seria uma lei iraniana, ao invés da lei americana”.

O que é um C2P?

O relatório afirma que, no interesse da privacidade, os provedores não são obrigados a perguntar quem são seus clientes e raramente descobrem quem está usando sua infraestrutura e para quê. Miller comparou isso ao motorista de táxi que leva o ladrão de banco ao banco e perguntou até que ponto o motorista é responsável pelo crime cometido.

O relatório da Halcyon afirma que os C2Ps desfrutam de uma “brecha de responsabilidade” que não exige que eles garantam que sua infraestrutura não esteja sendo usada para operações ilegais.

FONTE: DARKREADING

POSTS RELACIONADOS