Zyra e Departamentit të Thesarit për Kontrollin e Pasurive të Huaja (OFAC) sanksionoi dhjetë individë dhe dy entitete për rolet e tyre në kryerjen e akteve keqdashëse kibernetike, duke përfshirë aktivitetin e ransomware. Emërtimet e sotme janë pjesë e një veprimi të përbashkët me Departamentin e Drejtësisë, Departamentin e Shtetit, Byronë Federale të Hetimit, Komandën Kibernetike të SHBA, Agjencinë e Sigurisë Kombëtare dhe Agjencinë e Sigurisë Kibernetike dhe Sigurisë së Infrastrukturës. Individët dhe entitetet e përcaktuara sot janë të gjithë të lidhur me Korpusin e Gardës Revolucionare Islamike të Iranit (IRGC). Ky veprim vazhdon serinë e emërtimeve të OFAC që synojnë të mbrojnë personat amerikanë nga aktiviteti i ransomware , lehtësuesit e aktivitetit të ransomware dhe krimet e tjera kibernetike .
Programi Shtetëror i Shpërblimeve për Drejtësi ofron një shpërblim deri në 10 milionë dollarë për informacionin që çon në identifikimin ose vendndodhjen e çdo personi që merr pjesë në aktivitete keqdashëse kibernetike kundër infrastrukturës kritike të SHBA-së.
“Aktorët e Ransomware dhe kriminelët e tjerë kibernetikë, pavarësisht nga origjina e tyre kombëtare ose baza e operacioneve, kanë shënjestruar bizneset dhe infrastrukturën kritike në të gjithë bordin – duke kërcënuar drejtpërdrejt sigurinë fizike dhe ekonominë e Shteteve të Bashkuara dhe të vendeve të tjera”, tha nënsekretari i Thesarit për Terrorizmi dhe Inteligjenca Financiare Brian E. Nelson. “Ne do të vazhdojmë të ndërmarrim veprime koordinuese me partnerët tanë globalë për të luftuar dhe parandaluar kërcënimet e ransomware, përfshirë ato që lidhen me IRGC-në”.
Incidentet e Ransomware kanë ndërprerë shërbimet dhe bizneset kritike globalisht, duke përfshirë shkollat, zyrat qeveritare, spitalet dhe shërbimet e urgjencës, transportin, energjinë dhe kompanitë ushqimore. Pagesat e raportuara të ransomware në Shtetet e Bashkuara arritën mbi 590 milionë dollarë në vitin 2021, krahasuar me një total prej 416 milionë dollarësh në vitin 2020. Qeveria e SHBA vlerëson se këto pagesa përfaqësojnë vetëm një pjesë të dëmit ekonomik të shkaktuar nga aktivitetet keqdashëse kibernetike. Përveç miliona dollarëve të paguar drejtpërdrejt në shpërblime dhe të alokuara për përgjigje dhe rimëkëmbje, ndërprerja në sektorët kritikë nënvizon objektivat e atyre që kërkojnë të armatizojnë teknologjinë për përfitime personale, duke prishur ekonominë tonë dhe duke dëmtuar kompanitë, familjet dhe individët që varen prej saj për jetesën, kursimet dhe të ardhmen e tyre.
Veprimi i sotëm tregon përkushtimin e qeverisë amerikane për të prishur infrastrukturën dhe aktorët e ransomware. Shtetet e Bashkuara nuk do të tolerojnë aktivitete keqdashëse kibernetike, duke përfshirë aktivitetet përçarëse të krimit kibernetik, duke viktimizuar shtyllën kurrizore të ekonomisë amerikane dhe infrastrukturën kritike.
AKTORË KIBERNET DASHKËQYRËS TË LIDHUR ME IRGC
Sot, OFAC, si pjesë e një reagimi të gjithë qeverisë, ndërmori veprime kundër një grupi aktorësh kibernetikë keqdashës me bazë në Iran, të cilët kanë kompromentuar rrjetet e bazuara në Shtetet e Bashkuara dhe vende të tjera që të paktën që nga viti 2020. Ky grup i lidhur me IRGC është i njohur për shfrytëzimin e dobësive të softuerit për të kryer aktivitetet e tyre ransomware, si dhe për t’u përfshirë në akses të paautorizuar në kompjuter, ekfiltrim të të dhënave dhe aktivitete të tjera keqdashëse kibernetike. Firmat private të sigurisë kibernetike në mënyrë rutinore japin emërtime për fushata të veçanta kibernetike, dhe ndërsa individët e sanksionuar sot nuk lidhen drejtpërdrejt me një grup të quajtur kërcënimi të përparuar të përparuar, disa nga aktivitetet e tyre keqdashëse kibernetike mund t’i atribuohen pjesërisht disa grupeve të emërtuara të ndërhyrjeve, të tilla si “APT 35 , “Kotele simpatike”, “Kitten Nemesis”, “Fosfor” dhe “Tunnel Vision.
Ky grup ka nisur fushata të gjera kundër organizatave dhe zyrtarëve anembanë globit, veçanërisht duke synuar mbrojtjen, personelin diplomatik dhe qeveritar të SHBA-së dhe Lindjes së Mesme, si dhe industritë private duke përfshirë median, energjinë, shërbimet e biznesit dhe telekomunikacionin.
Në shkurt 2021, ky grup aktorësh kibernetikë keqdashës viktimizuan një komunë të Nju Xhersit përmes një rrjeti kompjuterik duke përdorur një cenueshmëri specifike të Fortinet. Këta aktorë përdorën aksesin e tyre për të krijuar llogari të paautorizuara, për të përshkallëzuar privilegjet e tyre dhe për të kryer lëvizje anësore në pjesë të tjera të rrjetit. Ata përdorën gjithashtu një përfaqësues të shpejtë të kundërt në një nga serverët e bashkisë për të vendosur qasje të vazhdueshme në distancë në një domen të caktuar që ishte regjistruar nga Mansour Ahmadi (Mansour). Grupi vendosi gjithashtu mjete të tilla si Mimikatz dhe Filezilla për të çuar përpara aktivitetin e tyre keqdashës.
Në mars dhe prill 2021, ky grup keqdashës kibernetik nisi grupin e parë të njohur të aktiviteteve të tyre të enkriptimit duke kompromentuar rrjetet, duke aktivizuar Microsoft BitLocker pa autorizim dhe duke mbajtur çelësat e deshifrimit për shpërblim. Gjatë kësaj kohe, një sërë biznesesh të vogla u ndikuan, duke përfshirë një studio ligjore, një firmë kontabiliteti dhe një kontraktor ndërtimi.
Në qershor 2021, grupi fitoi akses të paautorizuar në kontrollin mbikëqyrës dhe sistemet e marrjes së të dhënave të lidhura me një spital për fëmijë me bazë në SHBA. Pasi grupi kompromentoi rrjetin, ata krijuan llogari të paautorizuara, përshkallëzuan privilegjet, lëvizën anash përmes rrjetit, vendosën akses të vazhdueshëm, ekfiltronin të dhëna dhe koduan të paktën një pajisje me BitLocker. Partnerët e zbatimit të ligjit të qeverisë amerikane i dhanë një njoftim spitalit të fëmijëve përpara se të kishte ndonjë ndikim në kujdesin ndaj pacientit ose shërbimet mjekësore.
Nga qershori deri në gusht 2021, grupi përshpejtoi aktivitetin e tyre keqdashës duke synuar një gamë të gjerë viktimash me bazë në SHBA, duke përfshirë ofruesit e transportit, praktikat e kujdesit shëndetësor, ofruesit e shërbimeve të urgjencës dhe institucionet arsimore. Agjencitë qeveritare amerikane ishin në gjendje të paralajmëronin viktimat e mundshme të këtij aktiviteti dhe parandaluan ose zbutën dëmtimin ose kompromentimin e rrjeteve kompjuterike në shumë raste.
Nga shtatori 2021 deri më sot, ky grup kryesisht fitoi akses të paautorizuar në rrjetet e viktimave duke shfrytëzuar dobësitë e Microsoft Exchange dhe të lidhura me ProxyShell, duke përfshirë një incident në tetor 2021 kur ata komprometuan rrjetin e një kompanie të shërbimeve elektrike që shërben në një zonë rurale të Shteteve të Bashkuara. dhe përdori me qëllim të keq BitLocker për të ndërprerë operacionet.
Ky grup i lidhur me IRGC-në përbëhet nga punonjës dhe bashkëpunëtorë të Najee Technology Hooshmand Fater LLC (Najee Technology) dhe Afkar System Yazd Company (Afkar System). Mansour është pronar, drejtor menaxhues dhe kryetar i bordit të Najee Technology. Ahmad Khatibi Aghda (Khatibi) është drejtor menaxhues dhe anëtar i bordit të Afkar System. Punonjësit dhe bashkëpunëtorët shtesë të Najee Technology dhe/ose Afkar System përfshijnë: Ali Agha-Ahmadi (Ali Ahmadi); Mohammad Agha Ahmadi (Mohammed Ahmadi); Mo’in Mahdavi (Mehdavi); Aliakbar Rashidi-Barjini (Rashidi); Amir Hossein Nikaeen Ravari (Nikaeen);Mostafa Haxhi Hosseini (Mostafa); Mojtaba Haxhi Hosseini (Mojtaba); dhe, Mohammad Shakeri-Ashtijeh (Shakeri).
Khatibi ka qenë i lidhur me Afkar System që të paktën nga viti 2007 dhe shërben si drejtor menaxhues dhe është anëtar i bordit. Khatibi është ndër aktorët kibernetikë që fituan akses të paautorizuar në rrjetet e viktimave për të enkriptuar rrjetin me BitLocker dhe për të kërkuar një shpërblim për çelësat e deshifrimit. Ai mori me qira infrastrukturën e rrjetit të përdorur për të çuar përpara aktivitetet e këtij grupi keqdashës kibernetik, ai mori pjesë në kompromentimin e rrjeteve të viktimave dhe u angazhua në negociatat e shpërblesës me viktimat.
Nikaeen ishte punonjës i Afkar System nga viti 2015 deri në të paktën 2019. Nikaeen mori me qira dhe regjistroi infrastrukturën e rrjetit të përdorur për të çuar përpara aktivitetet e këtij grupi keqdashës kibernetik dhe mori pjesë në kompromentimin e rrjeteve të viktimave.
Ali Ahmadi ka qenë punonjës i Najee Technology që të paktën nga viti 2019. Rashidi ka punuar për Mansour të paktën që nga shkurti i vitit 2021.
Punonjësit e lidhur me IRGC-Mansour, Ali Ahmadi, Mohammad Ahmadi, Mahdavi, Rashidi, Khatibi, Nikaeen, Mostafa, Mojtaba dhe Shakeri- të kompanive të lidhura me IRGC, Najee Technology dhe Afkar System, janë përgjegjës ose bashkëpunëtorë në, ose janë përfshirë, drejtpërdrejt ose tërthorazi, në shënjestrimin global të rrjeteve të ndryshme, duke përfshirë infrastrukturën kritike, duke shfrytëzuar dobësitë e njohura për të fituar akses fillestar në avancimin e aktiviteteve me qëllim të keq, duke përfshirë operacionet e shpërblesës.
Mansour, Ali Ahmadi, Mohammad Ahmadi, Mahdavi, Rashidi, Khatibi, Nikaeen, Mostafa, Mojtaba dhe Shakeri u caktuan në përputhje me Urdhrin Ekzekutiv (EO) 13694, të ndryshuar, për të qenë përgjegjës ose bashkëpunëtorë, ose duke u angazhuar në, drejtpërdrejt ose në mënyrë indirekte, një aktivitet i mundësuar nga kibernetike i identifikuar në bazë të OE 13694, i ndryshuar.
Najee Technology u caktua në përputhje me OE 13694, të ndryshuar, për të ndihmuar materialisht, sponsorizuar ose ofruar mbështetje financiare, materiale ose teknologjike për, ose mallra ose shërbime për ose në mbështetje të, një aktiviteti të mundësuar nga kibernetike të identifikuar në përputhje me OE 13694 , i ndryshuar.
Sistemi Afkar u caktua në bazë të OE 13694, i ndryshuar, për të qenë në pronësi ose kontrolluar nga, ose për të vepruar për ose në emër të, drejtpërdrejt ose tërthorazi, Khatibi, një personi, pronat dhe interesat e pronës së të cilit janë të bllokuara në bazë të OE 13694, i ndryshuar.
Përveç caktimit të sanksioneve, Zyra e Prokurorit të SHBA për Distriktin e Nju Xhersit hapi një aktakuzë që akuzonte Mansour, Khatibi dhe Nikaeen për shkelje të Aktit të Mashtrimit dhe Abuzimit Kompjuterik (CFAA) dhe komplot për të shkelur CFAA.
Programi Shtetëror i Shpërblimeve për Drejtësi (RFJ) ofron një shpërblim deri në 10 milionë dollarë për informacionin që çon në identifikimin ose vendndodhjen e Mansour, Khatibi, Nikaeen ose çdo personi tjetër që, ndërsa vepron në drejtimin ose nën kontrollin e një të huaji. qeveria, merr pjesë në aktivitete keqdashëse kibernetike kundër infrastrukturës kritike të SHBA-së në kundërshtim me CFAA.
Për më tepër, një këshillim i përbashkët për sigurinë kibernetike (CSA) – rezultat i një përpjekjeje analitike midis Departamentit të Thesarit, FBI, NSA, USCYBERCOM, Qendrës së Sigurisë Kibernetike të Australisë (ACSC), Qendrës Kanadeze për Sigurinë Kibernetike (CCCS) dhe Qendra Kombëtare e Sigurisë Kibernetike e Mbretërisë së Bashkuar (NCSC)—është publikuar për të nxjerrë në pah aktivitetin e vazhdueshëm keqdashës kibernetik nga aktorët e avancuar të kërcënimit të vazhdueshëm (APT) që agjencitë autore vlerësojnë se janë të lidhur me IRGC.
NDIKIMET E SANKSIONEVE
Si rezultat i veprimit të sotëm, të gjitha pronat dhe interesat në pronën e personave të caktuar të përshkruar më sipër që janë në Shtetet e Bashkuara ose në posedim ose kontroll të personave amerikanë janë bllokuar dhe duhet të raportohen në OFAC. Gjithashtu, çdo subjekt që është në pronësi të drejtpërdrejtë ose të tërthortë, individualisht ose në total, 50 për qind ose më shumë nga një ose më shumë persona të bllokuar janë gjithashtu të bllokuara. Të gjitha transaksionet nga personat amerikanë ose brenda (ose tranzit) të Shteteve të Bashkuara që përfshijnë ndonjë pronë ose interes në pronën e personave të caktuar ose të bllokuar ndryshe janë të ndaluara, përveç rasteve kur autorizohen nga një licencë e përgjithshme ose specifike e lëshuar nga OFAC, ose përjashtohen. Ndalimet përfshijnë dhënien e çdo kontributi ose ofrimin e fondeve, mallrave ose shërbimeve nga, për ose për të mirën e çdo personi të bllokuar, ose marrjen e ndonjë kontributi ose ofrimin e fondeve, mallrave ose shërbimeve nga çdo person i tillë. Përveç kësaj, institucionet financiare dhe personat e tjerë që angazhohen në transaksione ose aktivitete të caktuara me subjektet dhe individët e sanksionuar mund të ekspozohen ndaj sanksioneve ose t’i nënshtrohen një veprimi përmbarimor.
Fuqia dhe integriteti i sanksioneve të OFAC rrjedhin jo vetëm nga aftësia e OFAC për të caktuar dhe shtuar persona në Listën SDN, por edhe nga gatishmëria e saj për të hequr persona nga Lista SDN në përputhje me ligjin. Qëllimi përfundimtar i sanksioneve nuk është ndëshkimi, por sjellja e një ndryshimi pozitiv në sjellje. Për informacion në lidhje me procesin e kërkimit të heqjes nga një listë OFAC, duke përfshirë listën SDN, ju lutemi referojuni Pyetjes së Bërë Shpesh 897 të OFAC këtu . Për informacion të detajuar mbi procesin, duhet të paraqisni një kërkesë për heqje nga lista e sanksioneve të OFAC .
Klikoni këtu për më shumë informacion mbi individët dhe subjektet e përcaktuara sot.
Shikoni Këshillimin e përditësuar të OFAC për rrezikun e sanksioneve të mundshme për lehtësimin e pagesave të Ransomware këtu , për informacion mbi veprimet që OFAC do t’i konsideronte si faktorë lehtësues në çdo veprim zbatues të lidhur që përfshin pagesat e ransomware me një rrezik të mundshëm sanksionesh. Për informacion mbi respektimin e sanksioneve të zbatueshme për monedhën virtuale, shihni Udhëzuesin e Pajtueshmërisë me Sanksionet e OFAC për industrinë e monedhës virtuale këtu .