Aggiornamenti recenti Gennaio 30th, 2026 5:19 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Hugging Face sfruttato per distribuire un trojan Android
- OpenSSL ha fixato 12 vulnerabilità scoperte da AISLE
- PackageGate: trovati sei bug zero-day nei package manager, ma NPM non interviene
- C’è Sandworm dietro l’attacco contro il settore energetico polacco
- Zendesk, sfruttato il sistema di ticketing per una campagna di spam massiva
Un attacco wiper mascherato da ransomware contro bersagli israeliani
Un attacco hacker che sembra un ransomware lanciato per lucro che in realtà cancella irreversibilmente i dati di bersagli strategici. Sembra la trama di un film, ma sta succedendo in Israele.
Una storia che ha il sapore di uno Spy Movie hollywoodiano, ma che è la realtà all’ordine del giorno nel cyber warfare, il ramo delle scienze belliche che ha a che fare con il mondo IT. In questo caso sono stati i Sentinel Labs a portare alla luce una serie di attività sospette.
Portate avanti da un nuovo gruppo chiamato Agrius, si tratta di attacchi rivolti verso bersagli israeliani, che però hanno una peculiarità. All’apparenza si presentano come “semplici” ransomware, con tanto di richiesta di riscatto e tutte le attività a corollario. Solo che dietro questa facciata si celano attacchi Wiper, finalizzati a cancellare in modo irreversibile i dati del bersaglio.
Una tecnica che si è evoluta nel tempo: le funzionalità ransomware sono state introdotte nel malware di proprietà del gruppo, chiamato Apostle solo nel corso del 2020, secondo quanto riportano i laboratori si SentinelOne che hanno monitorato le attività di Agrius per più di un anno, con l’aggiunta di un secondo tool, Deadwood o Detbosit, apparentemente collegato, anche se senza reali conferme, a un gruppo iraniano.
Sempre secondo l’analisi, sotto la superficie di un apparente ransomware si nascondono diverse varianti di wiper. L’attacco viene intenzionalmente mascherato come una tipica attività lucrativa, mentre i dati vengono eliminati. Un comportamento anomalo per i gruppi che si muovono per denaro, il che porta gli analisti a pensare che si tratti di gruppi sponsorizzati da qualche governo.
Il modus operandi di Agrius
Gli analisti sono riusciti anche a ricostruire uno schema di comportamento che il gruppo usa nelle sue attività. Di solito il punto di ingresso sono SQL injection lanciate contro applicazioni web sfruttando gli 1-day exploit, in pratica le vulnerabilità appena scoperte che non sono ancora state risolte.
L’accesso ai sistemi della vittima avviene attraverso servizi di VPN anonime, molto spesso ProtonVPN, che Agrius usa per installare una web shell, uno script in grado di mantenere l’accesso e il controllo attivi. Quasi sempre si tratta di varianti di ASPXSpy, un malware Open Source.
La shell viene usata per raccogliere credenziali ed effettuare movimenti laterali nel sistema attraverso il solito protocollo RDP (Remote Desktop Protocol) di Windows, installare nuove Web Shell, ottenere credenziali più elevate e così via.
Nell’analisi di Sentinel Labs, le shell installate in questo modo provenivano principalmente dall’Iran, ma anche dal Pakistan, dall’Arabia Saudita e dagli Emirati Arabi Uniti. Un comportamento che apparentemente fa pensare ad attività di origine iraniana.
Attraverso le Shell, il gruppo utilizza un malware chiamato IPsec Helper per controllare la disponibilità di una connessione, connettersi a server Microsoft predeterminati e scaricare il malware Apostle, la vera arma dell’operazione. Che, come abbiamo visto, è stato progettato per sembrare un ransomware ma distruggere i dati dei bersagli.
Oltre ai bersagli israeliani, Agrius avrebbe attaccato anche infrastrutture statali negli Emirati Arabi Uniti, già note per essere state oggetto delle attenzioni da gruppi sospettati di essere iraniani.
Condividi l'articolo
Svezia: cyber attacco blocca la raccolta di statistiche sul Covid
Falla nei PLC Siemens: a rischio i sistemi industriali
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Il 64% delle app di terze parti accede a dati sensibili... Dall’ultima ricerca di Reflectiz, “The State of... -
Microsoft smantella RedVDS, rete globale di... Microsoft ha annunciato di aver smantellato RedVDS, una... -
Allarme password aziendali deboli: più del 40% è... Gli utenti aziendali utilizzano ancora password deboli,... -
Nel 2026 sempre più attacchi autonomi AI-driven e... Il mondo della cybersecurity si appresta a vivere un 2026... -
Kaspersky: così funziona il mercato del lavoro nel dark Il dark web non è più soltanto un luogo di scambio di...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Hugging Face sfruttato per distribuire un trojan Android I ricercatori di BitDefender hanno scoperto una campagna... -
OpenSSL ha fixato 12 vulnerabilità scoperte da AISLE Pochi giorni fa OpenSSL ha rilasciato alcune patch per... -
PackageGate: trovati sei bug zero-day nei package manager,... La società di sicurezza Koi Security ha pubblicato una... -
C’è Sandworm dietro l’attacco contro il... I ricercatori di ESET hanno scoperto che il tentativo di... -
Zendesk, sfruttato il sistema di ticketing per una campagna... Zendesk, nota piattaforma di ticketing, sta venendo...
Ransomware: la serie
No posts found.