Aggiornamenti recenti Dicembre 11th, 2024 9:00 AM
Ago 10, 2022 Redazione news Attacchi, News, RSS 0
Tre importanti gang specializzate in ransomware (Hive, LockBit e BlackCat) hanno attaccato consecutivamente la medesima rete. I primi due attacchi si sono svolti nell’arco di due ore, mentre il terzo è avvenuto a distanza di due settimane. Ogni gang ha lasciato la propria richiesta di riscatto e alcuni file sono stati cifrati tre volte.
A rivelarlo un nuovo whitepaper dal titolo Multiple Attackers: A Clear and Present Danger a cura di Sophos X-Ops, la nuova unità operativa trasversale di Sophos che mette in collegamento i tre team di esperti di cybersicurezza SophosLabs, Sophos SecOps e Sophos AI.
“È già abbastanza problematico ricevere una richiesta di riscatto, figuriamoci tre. La presenza di attacchi multipli crea un livello di complessità completamente nuovo per il recovery, in particolare quando i file della rete vengono cifrati tre volte.” – ha dichiarato John Shier, senior security advisor dell’azienda.
Il whitepaper delinea ulteriori casistiche di attacchi sovrapposti che comprendono cryptominer, RAT (Remote Access Trojan) e bot. In passato, quando più cybercriminali colpivano lo stesso sistema, le attività avvenivano solitamente nell’arco di svariati mesi se non anni.
Gli attacchi descritti ora, invece, si sono svolti nel giro di pochi giorni o settimane l’uno dall’altro e, in un caso, contemporaneamente, sfruttando spesso la medesima vulnerabilità.
In genere i gruppi criminali sono in competizione tra loro per prendere il possesso delle risorse desiderate, rendendo più difficili gli attacchi lanciati simultaneamente da più direzioni. I cryptominer sono soliti terminare i software concorrenti eventualmente presenti sullo stesso sistema e i moderni RAT pubblicizzano spesso sui forum criminali le loro capacità di bot killing.
Tuttavia, nel caso dell’attacco sferrato dalle tre gang specializzate in ransomware, l’ultimo gruppo entrato nel sistema, BlackCat, non solo ha cancellato le tracce della propria attività, ma ha anche di quelle di LockBit e Hive.
In un altro caso, un sistema era stato infettato dal ransomware LockBit. Circa tre mesi dopo, esponenti del team Karakurt, un gruppo collegato a Conti, sono stati in grado di sfruttare la backdoor creata da LockBit per sottrarre i dati e richiedere un riscatto.
“Nell’insieme, i gruppi che si occupano di ransomware non sembrano essere apertamente in concorrenza tra loro. Tant’è vero che LockBit esplicitamente non proibisce ai propri affiliati di collaborare con competitor, come indicato nel whitepaper Sophos” – ha commentato Shier.
“Non abbiamo prove di collaborazioni, ma è possibile che questo sia dovuto al fatto che gli autori degli attacchi si rendono conto che esiste un numero finito di “risorse” all’interno di un mercato sempre più competitivo. O, forse, ritengono che più alta è la pressione applicata sul bersaglio – ovvero più attacchi – più è probabile che le vittime paghino il riscatto.
Magari ci sono accordi ad alto livello con condizioni reciprocamente vantaggiose, per esempio un gruppo cifra i dati e un altro li esfiltra. A un certo punto questi gruppi dovranno decidere cosa fare di questa cooperazione – se potenziarla ulteriormente o se entrare in concorrenza tra loro – ma, per adesso, la strada è aperta agli attacchi provenienti da più gruppi differenti.” – ha aggiunto.
La maggior parte delle infezioni iniziali degli attacchi presentati nel whitepaper è avvenuta attraverso una vulnerabilità lasciata scoperta. Le più usate sono Log4Shell, ProxyLogon e ProxyShell. Sono spesso sfruttati anche server RDP (Remote Desktop Protocol) non protetti e configurati in modo carente.
Nella maggior parte delle casistiche dove sono intervenuti attaccanti multipli, le vittime non sono riuscite a reagire efficacemente all’attacco iniziale lasciando aperta la porta a ulteriori attività cybercriminali.
In queste situazioni, le medesime configurazioni RDP errate e applicazioni come RDWeb o AnyDesk hanno rappresentato una via facilmente percorribile per ulteriori attacchi. I server RDP e VPN esposti sono infatti uno degli articoli più venduti nel Dark Web.
“Come sottolineato nell’ultima edizione di Active Adversary Playbook, nel 2021 Sophos ha iniziato a vedere le aziende cadere vittime di molteplici attacchi simultanei indicando che questa può essere una tendenza crescente.
Anche se l’aumento degli attacchi multipli è ancora basato su prove empiriche, la disponibilità di sistemi attaccabili fornisce ai cybercriminali ampie opportunità di proseguire le loro attività in questa direzione” – ha concluso Shier.
Dic 06, 2024 0
Dic 04, 2024 0
Dic 02, 2024 0
Nov 19, 2024 0
Dic 11, 2024 0
Dic 10, 2024 0
Dic 09, 2024 0
Dic 09, 2024 0
Dic 10, 2024 0
In Cina scoppia il mercato nero dei dati sensibili: oltre a...Dic 09, 2024 0
Quali strumenti vengono usati in Italia per tracciare gli...Dic 06, 2024 0
Sempre più gruppi hacker stanno sfruttando gli eventi...Dic 05, 2024 0
Il settore della cyber insurance si sta espandendo: se...Dic 04, 2024 0
Le festività e gli weekend sono i periodi peggiori per le...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Dic 11, 2024 0
I ricercatori di ESET hanno scoperto il primo bootkit...Dic 10, 2024 0
In Cina scoppia il mercato nero dei dati sensibili:Dic 09, 2024 0
Quali strumenti vengono usati in Italia per tracciare gli...Dic 09, 2024 0
La Cybersecurity and Infrastructure Security Agency (CISA)...Dic 09, 2024 0
Nel corso di questa settimana, il CERT-AGID ha individuato...