– ESET, compañía líder en detección proactiva de amenazas, descubrió un
nuevo malware al que denominó fantasy, es de tipo wiper que elimina datos. El mismo se identificó
en ataques del grupo Agruis y, al momento, apunta a empresas de consultoría de IT, recursos
humanos y la industria de las joyas en Israel, Sudáfrica y Hong Kong.
El equipo de investigación de ESET descubrió este malware junto a su herramienta de ejecución,
ambos atribuidos al grupo de APT Agrius. El hallazgo se dio mientras se analizaba un ataque de
cadena de suministro que abusaba de un software israelí.
El grupo Agrius es conocido por sus operaciones destructivas. Es un grupo nuevo alineado a los
intereses de Irán que se enfoca en víctimas en Israel y los Emiratos Árabes Unidos desde 2020. En
febrero de 2022, Agrius comenzó a apuntar con sus ataques a firmas de consultoría de TI y recursos
humanos en Israel, y a personas usuarias de un software israelí que es utilizado en la industria del
diamante. “Creemos que los operadores de Agrius realizaron un ataque de cadena de suministro
abusando del software israelí para desplegar su nuevo wiper, llamado Fantasy, y una nueva
herramienta, llamada Sandals, que permite ejecutar Fantasy.”, comenta Camilo Gutiérrez Amaya,
Jefe del Laboratorio de Investigación de ESET Latinoamérica.
El wiper Fantasy fue creado a partir de un wiper llamado Apostle y apunta a borrar datos. Desde ESET
observaron víctimas de este nuevo malware en Sudáfrica, país en el cual su actividad comenzó varias
semanas antes de que se desplegara en Israel y Hong Kong.
Pie de imagen: Cronología y ubicaciones de las víctimas
ESET, analiza la campaña:
El 20 de febrero de 2022, en una organización de la industria del diamante en Sudáfrica, Agrius
desplegó herramientas para la recolección de credenciales, probablemente como parte de su
preparación para esta campaña. Luego, el 12 de marzo de 2022, Agrius desplegó sus ataque
destructivos con Fantasy y Sandals, primero a la víctima en Sudáfrica y luego a las víctimas en Israel y
finalmente a una víctima en Hong Kong.
Las víctimas en Israel incluyen una empresa de servicios de soporte de TI, un mayorista de diamantes y una empresa de consultoría de recursos humanos. Las víctimas sudafricanas pertenecen a una sola
organización en la industria del diamante, siendo la víctima de Hong Kong un joyero.
La campaña duró menos de tres horas y dentro de ese período de tiempo, los clientes de ESET ya
estaban protegidos con detecciones que identificaban a Fantasy como un wiper y bloqueaban su
ejecución. El equipo de investigación de ESET observó que el desarrollador de software lanzó
actualizaciones en cuestión de horas después del ataque. ESET se puso en contacto con el
desarrollador de software para notificarle sobre un posible compromiso, pero no se obtuvo
respuesta.
Puntos claves:
– El grupo Agrius realizó un ataque de cadena de suministro abusando de un software israelí
utilizado en la industria del diamante.
– Luego, el grupo de APT desplegó un nuevo malware del tipo wiper al que ESET llamó Fantasy.
La mayor parte de su código base proviene de Apostle, un wiper utilizado anteriormente por
Agrius.
– Junto con el wiper Fantasy, Agrius también desplego una nueva herramienta utilizada para
realizar movimiento lateral y ejecutar Fantasy, al cual ESET ha llamado Sandals.
– Las víctimas incluyen empresas israelíes de recursos humanos, empresas de consultoría de TI
y un mayorista de diamantes; una organización sudafricana que trabaja en la industria del
diamante; y un joyero en Hong Kong.
Spanish
English
French
Maori