Acteurs cyber basés en Iran facilitant les attaques de ransomware contre les organisations américaines
Le FBI, la CISA et le DC3 mettent en garde contre les acteurs cyber iraniens qui exploitent des organisations américaines et étrangères pour des attaques de ransomware. Ces acteurs exploitent les vulnérabilités des appareils distants, comme CVE-2024-3400, CVE-2024-24919 et CVE-2023-3519, pour accéder initialement au réseau. Une fois à l'intérieur, ils créent des comptes, désactivent les logiciels de sécurité et élargissent leurs privilèges. Ils collaborent avec des affiliés de ransomware, y compris NoEscape, Ransomhouse et ALPHV (également connu sous le nom de BlackCat), pour faciliter les opérations d'encryption. Le FBI estime que ces acteurs sont parrainés par l'État et s'engagent dans des activités d'espionnage, y compris le vol de données, pour soutenir le gouvernement de l'Iran. Les victimes comprennent des organisations dans les secteurs de l'éducation, de la finance, de la santé, de la défense et du gouvernement. Les mesures d'atténuation incluent la mise à jour des appareils vulnérables, la mise en œuvre de politiques de confiance zéro et la surveillance de l'activité du réseau pour détecter tout comportement suspect. Si une organisation est compromise, elle doit contacter le FBI ou signaler l'incident à la CISA.