Aggiornamenti recenti Agosto 8th, 2025 11:30 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- SonicWall: Akira non sfrutta uno zero-day, ma una falla del 2024
- Anche Google vittima della campagna di ShinyHunters
- ReVault: vulnerabilità nei laptop Dell bypassano il login di Windows
- Possibile zero-day su SonicWall: Akira colpisce le aziende
- Cisco svela un nuovo tipo di jailbreak AI: i guardrail non bastano
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- SonicWall: Akira non sfrutta uno zero-day, ma una falla del 2024
APT cinese usa il ransomware per coprire lo spionaggio
Una ricerca indica che l’APT Bronze Starlight, legato alla Cina, distribuisce ransomware post-intrusione per coprire le proprie operazioni di spionaggio informatico
Come riporta uno studio di Secureworks, almeno dal 2015 i cyber criminali usano HUI Loader per caricare trojan di accesso remoto (RAT) su host compromessi.
I ricercatori della Counter Threat Unit (CTU) di Secureworks collegano due cluster di attività di HUI Loader esclusivamente a gruppi di pirati che operano dalla Cina. Il gruppo Bronze Riverside è probabilmente responsabile di uno dei due, che si concentra sul furto di proprietà intellettuale da organizzazioni giapponesi.
L’altro cluster prevede la distribuzione dei ransomware LockFile, AtomSilo, Rook, Night Sky e Pandora, post-intrusione. I ricercatori del CTU attribuiscono questa attività all’APT cinese Bronze Starlight. Un APT (Advanced Persistent Threat, ossia minaccia avanzata e persistente) è un gruppo di cyber criminali con elevate competenze e risorse.
La vittimologia, la breve durata della vita di ogni famiglia di ransomware e l’accesso al malware utilizzato da APT sponsorizzati dal governo cinese suggeriscono che la motivazione principale dei pirati sia il furto di proprietà intellettuale o il cyber-spionaggio piuttosto che il guadagno finanziario.
Secondo l’analisi di Secureworks, Bronze Starlight potrebbe utilizzare il ransomware in questi incidenti per raggiungere degli obiettivi tattici. Il primo è distruggere le prove. La crittografia dei dati compromette le prove delle attività di spionaggio, rendendo molto più difficile per le vittime valutare correttamente la minaccia e proteggersi.
Il secondo è distrarre chi investiga sull’attacco. L’impatto del ransomware su un’organizzazione compromessa e la pressione per il ritorno alla normale operatività aziendale può monopolizzare gli sforzi del team di risposta agli incidenti, distraendo da altre attività sospette non direttamente collegate al ransomware. Il terzo è rubare dati nascondendo le reali finalità spionistiche dell’operazione.
Condividi l'articolo
Dal NIST linee guida per la sicurezza di mcOS per le aziende
Phishing supera l'2FA con app Microsoft WebView2
Articoli correlati
Altro in questa categoria
Approfondimenti
Minacce recenti
Off topic
Post recenti
Ransomware: la serie
No posts found.