Moneybird ransomware
Egy izraeli szervezet elleni zsarolóvírus-támadás kezelése közben a Check Point Incident Response Team egy új Moneybird nevű ransomware törzset azonosított. Bár maga a payload egyedi volt, a támadásban bemutatott TTP-k egyértelműen átfedtek egy Agrius néven szereplőt. Az adatokat végül a csoport egyik ismert álnevével rendelkező entitás szivárogtatta ki.
Az első alkalommal 2021-ben azonosított Agrius egy Iránhoz kötődő fenyegetési szereplő, amely főként a Közel-Keleten tevékenykedik. A csoport által újonnan felfedezett zsarolóprogramot, a Moneybird-et az izraeli szervezetek ellen használták. Ez korrelál az Agrius korábbi tevékenységeivel más izraeli szervezetekkel, különösen a Shirbit és a Bar Ilan Egyetem ellen. A csoport álnevek széles készletét használta zsaroló szervezeteihez. A BlackShadow név, amelyet a csoport Shirbit zsarolására használt, mint az első ismert álnév, amelyet Agrius felvett, és a mai napig gyakran hozzák összefüggésbe. Az Agrius ransomware-műveletei többnyire az Apostle nevű egyedi zsarolóprogramhoz kapcsolódnak, amely eredetileg egy törlő volt. Figyelemre méltó egy új, C++ nyelven írt zsarolóprogram használata, amely jól mutatja a csoport bővülő képességeit és folyamatos erőfeszítéseit az új eszközök fejlesztésében.