研究人员发现伊朗政府资助的勒索软件行动

最新分析显示，伊朗通过一家总部设在该国的承包公司，与另一个国家资助的勒索软件行动有关。

“伊朗伊斯兰革命卫队（IRGC）正在通过一家名为‘Emen Net Pasargard’（ENP）的伊朗承包公司开展一场由国家赞助的勒索活动，”网络安全公司Flashpoint在其调查结果中总结了一家名为Read My Lips或Lab Dookhtegan的匿名实体在3月19日至4月期间泄露的三份文件1通过其电报频道。

这项被称为“信号工程”的计划据说在2020年7月底至2020年9月初之间启动，ENP的内部研究机构命名为“研究中心”，列出了一系列未指明的目标网站。

Flashpoint验证的第二份电子表格明确阐述了该项目的财务动机，计划在2020年底启动勒索软件操作，从10月18日到21日为期四天。另一份文件概述了工作流程，包括从勒索软件受害者处接收比特币付款和解密锁定数据的步骤。

目前尚不清楚这些袭击是否按计划进行，目标是谁。

研究人员说：“ENP代表伊朗情报机构运作，为伊朗伊斯兰革命卫队（IRGC）、IRGC圣城部队（IRGC-QF）和伊朗情报与安全部（MOIS）提供网络能力和支持。”。

尽管该项目以勒索软件为主题，但研究人员怀疑，此举可能是一种“诡计技巧”，模仿其他出于财务动机的网络犯罪勒索软件团体的战术、技术和程序（TTP），从而使归属更加困难，更好地融入威胁环境。

有趣的是，Project Signal的推出还与另一场名为“Pay2Key”的伊朗勒索软件活动相吻合，该活动在2020年11月和12月诱捕了数十家以色列公司。总部位于特拉维夫的网络安全公司ClearSky将这一波攻击归咎于一个名为Fox Kitten的组织。鉴于缺乏证据，目前尚不清楚这两个运动之间可能存在什么联系（如果有的话）。

这不是杜克特甘实验室第一次发布有关伊朗恶意网络活动的重要信息。这个神秘的人或组织以一种与影子经纪人类似的方式，泄露了伊朗黑客组织APT34或OilRig的秘密，包括公布对手的黑客工具库，以及66个受害者组织的信息，以及伊朗政府情报人员的真实身份。

伊朗第二次勒索软件行动的消息传出之际，一个名为勒索软件工作组的政府和私营部门科技公司联盟分享了一份81页的报告，其中包括48项检测和破坏勒索软件攻击的建议，除了帮助组织更有效地准备和应对此类入侵之外。