Nieuwe wiper-malware gericht op diamantindustrie opgedoken

Cybercriminelen zetten een nieuwe wiper in voor het aanvallen van de diamantindustrie. De aanval is toegeschreven aan de Agrius APT-groep, die is gelieerd aan Iran.

Hiervoor waarschuwt ESET. De aanvallers voerden een supply chain-aanval uit waarbij zij een Israëlische softwareontwikkelaar gebruikten om hun nieuwe wiper Fantasy evenals een bijbehorende tool voor verplaatsing in het netwerk en de implementatie van Fantasy genaamd ‘Sandals’ te verspreiden. Het softwarepakket waarop de aanvallers hun pijlen hadden gericht wordt gebruikt in de diamantindustrie. In februari 2022 viel Agrius een Israëlisch HR-bedrijf, een diamantgroothandelaar en een IT-adviesbureau aan met de wiper malware. Ook in Zuid-Afrika en Hong Kong zijn bedrijven getroffen.

Campagne duurde nog geen drie uur

"De campagne duurde minder dan drie uur. Binnen dat tijdsbestek waren ESET-klanten al beschermd met detecties, die Fantasy herkenden als wiper en de uitvoer ervan blokkeerden. We zagen dat de Israëlische softwareontwikkelaar binnen enkele uren na de aanval updates uitbracht", licht Adam Burgher, Senior Threat Intelligence Analyst bij ESET, toe. ESET nam contact op met de softwareontwikkelaar om hen te informeren over mogelijk misbruik van hun software, maar de vragen bleven onbeantwoord.

Burgher: "Op 20 februari 2022 werden bij een organisatie in de diamantindustrie in Zuid-Afrika Agriustools ingezet voor het stelen van inloggegevens, waarschijnlijk ter voorbereiding van deze campagne. Daarna, op 12 maart 2022, lanceerde Agrius de wipe-aanval door Fantasy en Sandals in te zetten. Dit deden zij eerst bij het slachtoffer in Zuid-Afrika, daarna bij slachtoffers in Israël en als laatste bij een slachtoffer in Hong Kong."

Bestanden wissen

Fantasy wist ofwel alle bestanden op de schijf of wist alle bestanden met extensies op een lijst van 682 extensies, waaronder extensies voor Microsoft 365-toepassingen zoals Microsoft Word, PowerPoint en Excel, en voor veelvoorkomende video-, audio- en afbeeldingsbestandsformaten. Hoewel de malware stappen onderneemt om herstel en forensische analyse te bemoeilijken, noemt ESET het waarschijnlijk dat herstel van het Windows besturingssysteem mogelijk is. Slachtoffers konden namelijk binnen enkele uren weer aan de slag.

Agrius is een relatief nieuwe Iraanse groep die zich sinds 2020 richt op doelwitten in Israël en de Verenigde Arabische Emiraten. De groep zette aanvankelijk een wiper genaamd Apostle in vermomd als ransomware. Later veranderde Apostle in volwaardige ransomware. Agrius maakt gebruik van bekende kwetsbaarheden in op het internet gerichte toepassingen om webshells te installeren en voert vervolgens interne verkenningen uit. De volgende stappen zijn het zich horizontaal verplaatsen in het netwerk en schadelijke payloads inzetten.

Schade aanrichten

Sinds zijn ontdekking in 2021 richtte Agrius zich uitsluitend op operaties die schade aanrichten. Fantasy lijkt in veel opzichten op de vorige Agrius ransomware, meldt ESET. Fantasy doet echter geen moeite om zich te vermommen als ransomware. Er zijn slechts een paar kleine aanpassingen tussen veel van de oorspronkelijke functies in Apostle en de implementatie van Fantasy.

Meer technische informatie over Agrius's Fantasy wiper is hier beschikbaar.