Aggiornamenti recenti Giugno 16th, 2025 5:26 PM
Ott 21, 2024 Marina Londei Approfondimenti, In evidenza, Malware, Minacce, RSS 0
Di recente il team di Group-IB è riuscito a ottenere accesso al pannello degli affiliati di Cicada3301, un ransomware-as-a-service scoperto lo scorso giugno che ha colpito numerose realtà dei settori critici, soprattutto negli Stati Uniti e nel Regno Unito. Da giugno, il gruppo ha preso di mira 30 organizzazioni in soli tre mesi e ha pubblicato sul proprio sito i dati sottratti.
Il gruppo ha cominciato a cercare affiliati (pentester e access broker) sul forum RAMP del dark web poco prima di cominciare le sue operazioni. Coloro che vogliono diventare affiliati del gruppo devono prendere parte a una piccola intervista; inoltre, la richiesta è di non colpire i Paesi della Comunità degli Stati Indipendenti. I cybercriminali dietro Cicada3301 chiedono inoltre un 20% del riscatto ottenuto dalle vittime.
Il ransomware, scritto in Rust, può essere eseguito su Windows, Linux, ESXi e NAS. Il malware usa ChaCha20 e RSA per la cifratura; questa operazione può essere eseguita in tre diverse modalità (Completa, Veloce, Automatica) e permette di cifrare sia totalmente che parzialmente i file per ottimizzare la velocità e l’impatto dell’attacco.
Il team di Group-IB è riuscito a ottenere l’accesso al pannello degli affiliati e approfondire le funzionalità del ransomware. Dall’interfaccia web del ransomware gli affiliati possono accedere a chat, canali di supporto e visualizzare gli account di sub-affiliati. L’interfaccia consente di costruire un locker personalizzato, generare una landing page, personalizzare le note di riscatto e il file storage per i dati sottratti.
Il pannello contiene anche una dashboard con informazioni quali il numero di compagnie attaccate, i dettagli di fingerprinting e il numero di login falliti o di successo. C’è inoltre una sezione “Notizie” dove il gruppo di Cicaca3001 pubblica eventuali aggiornamenti sul programma, la sezione “Compagnie” dove gli affiliati possono aggiungere le vittime da colpire e i dettagli dell’attacco e la sezione “FAQ” che specifica regole e linee guida per l’uso della piattaforma.
Una volta infiltrato il sistema target, nel caso di sistema operativo Windows il ransomware disabilita l’esecuzione automatica di Windows Recovery Environment, cancella le copie shadow e pulisce il log degli eventi. Subito dopo, il malware interrompe processi e servizi in esecuzione, comprese le macchine virtuali. Infine, viene eseguito il locker per cominciare la cifratura dei file.
Nel caso della variante Linux, il ransomware esclude dalla cifratura i file .lock e .tml e quelli che si trovano nelle cartelle /etc, /run, /usr, /sys, /dev, /bin, /lib, /boot, /snap, /proc, /sbin, /lib64, /cdrom
. Per i sistemi ESXi, invece, il ransomware per prima cosa elimina tutte le macchine virtuali in esecuzione e cancella tutti gli snapshot.
Pixabay
Il team di Group-IB sottolinea che Cicada3301, con il suo programma di affiliati, si è confermato come una delle minacce più significative degli ultimi mesi. “Le loro operazioni sono caratterizzate da tattiche aggressive progettate per massimizzare l’impatto, come l’interruzione dei servizi essenziali, l’arresto delle macchine virtuali e la crittografia dei dati su varie piattaforme e condivisioni di rete“.
Visto l’aumento del numero di minacce ransomware e della loro pericolosità, i ricercatori di Group-IB ricordano alle aziende di implementare l’MFA per gli asset critici e scegliere soluzioni di EDR e XDR per identificare la presenza di malware il prima possibile. È inoltre indispensabile avere una strategia di backup robusta, mantenere aggiornati i software e investire sulla formazione dei dipendenti.
Giu 16, 2025 0
Mag 30, 2025 0
Mag 30, 2025 0
Mag 27, 2025 0
Giu 13, 2025 0
Giu 12, 2025 0
Giu 11, 2025 0
Giu 10, 2025 0
Giu 09, 2025 0
La cybersecurity sta acquisendo sempre più importanza tra...Mag 30, 2025 0
Nel 2024, le piccole e medie imprese, spesso considerate il...Mag 27, 2025 0
MATLAB ha smesso di funzionare per quasi una settimana e...Mag 27, 2025 0
Nel corso del “TRU Security Day 2025” di...Mag 26, 2025 0
I ricercatori di Akamai hanno individuato di recente...Gen 29, 2025 0
Con l’avvento dell’IA generativa...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Giu 16, 2025 0
I ricercatori di Trend Micro hanno individuato Anubis, un...Giu 13, 2025 0
Nel gennaio 2025, i ricercatori di Aim Labs hanno...Giu 12, 2025 0
Le reti air-gapped, ovvero fisicamente separate da Internet...Giu 11, 2025 0
Nell’aggiornamento di sicurezza di giugno Microsoft...Giu 10, 2025 0
Di recente Google ha agito su un bug che consentiva...