O grupo de ameaças Agrius foi observado usando uma nova cepa de ransomware chamada Moneybird contra entidades israelenses.

O grupo é, no entanto, conhecido por realizar ataques destrutivos de limpeza de dados disfarçados de infecções por ransomware em Israel.

A Microsoft vinculou a Agrius ao Ministério de Inteligência e Segurança (MOIS) do Irã, que opera o grupo MuddyWater.

Agrius, também conhecido como Pink Sandstorm ou Americium, está ativo há quase dois anos e é conhecido por desenvolver malware baseado em .NET.

No entanto, o ransomware Moneybird foi desenvolvido em C++. O Moneybird ransomware criptografa arquivos importantes e lança uma nota de resgate aconselhando a organização a fazer contato dentro de 24 horas ou suas informações roubadas serão vazadas.

Para baixar algumas das cargas úteis, o agente da ameaça abre um navegador e se conecta a serviços de compartilhamento de arquivos genuínos.

A maioria dessas atividades é realizada manualmente pelos agentes de ameaças via RDP. Em dezembro de 2022, o agente da ameaça foi vinculado a um conjunto de tentativas de invasões disruptivas.

Essas invasões visavam indústrias de diamantes localizadas em Israel, Hong Kong e África do Sul.

Esses ataques usaram um limpador que virou ransomware baseado em DotNET conhecido como Apóstolo e seu sucessor conhecido como Fantasy.