Am 28. August veröffentlichte das FBI in Zusammenarbeit mit der CISA sowie dem Department of Defense Cyber Crime Center (DC3) ein Joint Cybersecurity Advisory zu aktuellen Angriffen durch Cyberakteure mit Verbindungen zur iranischen Regierung, die mit internationalen Ransomware-Gruppierungen kooperieren.
Seit August 2024 nutzen die Akteure bekannte Schwachstellen in öffentlich erreichbaren Firewalls und VPN-Appliances, um initialen Zugriff auf ihre Opfer zu erlangen. Betroffen waren hiervon unter anderem Check Point Security Gateways (CVE-2024-24919), Palo Alto Networks PAN-OS und GlobalProtect VPN-Geräte (CVE-2024-3400) sowie auch Citrix Netscaler und BIG-IP F5 Geräte mit älteren Schwachstellen.
Die Akteure nutzen die gewonnenen Zugänge zur Exfiltration von sensiblen Daten, teilen diese jedoch auch mit Ransomware-Gruppierungen im Austausch für einen Prozentsatz der erbeuteten Lösegelder. Zu den bislang bekanntgewordenen Gruppierungen zählen NoEscape, Ransomhouse und ALPHV (alias BlackCat).
Die beschriebene Vorgehensweise verdeutlicht einmal mehr den fließenden Übergang zwischen staatlich gesteuerten Spionageoperationen und Cybercrime. Derartige Kooperationen ermöglichen es kriminellen Gruppierungen, auf das Know-How und vor allem die finanziellen und technischen Ressourcen von Nationalstaaten zurückzugreifen, um so auch Ziele mit hohen Sicherheitsstandards anzugreifen.
Das Joint Cybersecurity Advisory beinhaltet eine detaillierte Analyse eingesetzter TTPs sowie bislang bekannter IOC, die zur Analyse genutzt werden können.