Le groupe de hackers soutenu par l’Iran Fox Kitten a été lié à l’opération de ransomware Pay2Key qui a récemment commencé à cibler des organisations d’Israël et du Brésil.

« Nous estimons avec une confiance moyenne à élevée que Pay2Key est une nouvelle opération menée par Fox Kitten, un groupe iranien APT qui a lancé une nouvelle vague d’attaques en novembre-décembre 2020 impliquant des dizaines d’entreprises israéliennes », déclare la société de renseignement sur les menaces ClearSky.

Selon le rapport publié aujourd’hui, « cette campagne fait partie de la cyber-confrontation en cours entre Israël et l’Iran, la vague d’attaques la plus récente causant des dommages importants à certaines des entreprises touchées ».

Le groupe de piratage Fox Kitten soutenu par l’Iran (également connu sous le nom de Parisite par la société de cybersécurité ICS Dragos) est actif depuis au moins 2017 et est connu pour orchestrer et être impliqué dans des campagnes de cyber-espionnage et de vol de données.

Ils ont également vendu l’accès à des réseaux d’entreprise compromis à d’autres acteurs de la menace sur des forums souterrains et ont été détectés lors de l’utilisation d’exploits CVE-2020-5902 dans des attaques ciblant des appareils F5 BIG-IP vulnérables.

Fox Kitten permet également d’accéder aux réseaux d’entités compromises à un autre groupe de piratage iranien suivi sous le nom d’APT33 (alias Elfin, Magnallium).

Pay2Key est une opération de ransomware relativement nouvelle qui a ciblé des organisations israéliennes et brésiliennes au cours du mois dernier.

Un gang de ransomwares montrant ses compétences APT

Depuis octobre 2020, Fox Kitten utilise les attaques de ransomware Pay2Key comme couverture pour le vol d’informations sensibles auprès des entreprises du secteur, de l’assurance et de la logistique.

Le groupe a exploité les vulnérabilités des produits VPN Pulse Secure, Fortinet, F5 et Global Protect ou le protocole RDP (Remote Desktop Protocol) exposé publiquement pour accéder aux réseaux des cibles et déployer les charges utiles des logiciels malveillants.

La «capacité des opérateurs Pay2Key à accélérer la diffusion du ransomware