Aggiornamenti recenti Giugno 16th, 2025 5:26 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Anubis, un nuovo ransomware che integra un wiper
- EchoLeak: è arrivata la prima vulnerabilità zero clic per le IA (Microsoft 365 Copilot)
- Smartwatch e attacchi acustici: nuova minaccia alle reti isolate
- Microsoft rilascia patch per 67 bug, di cui uno già sfruttato
- Un bug di Google consentiva di scoprire il numero di telefono degli utenti in pochi minuti
Attacchi ransomware multipli: un nuovo pericolo
Sophos ha rilevato tre attacchi ransomware consecutivi contro la stessa rete da gruppi criminali diversi. La vittima ha ricevuto tre differenti richieste di riscatto per i file cifrati tre volte
Tre importanti gang specializzate in ransomware (Hive, LockBit e BlackCat) hanno attaccato consecutivamente la medesima rete. I primi due attacchi si sono svolti nell’arco di due ore, mentre il terzo è avvenuto a distanza di due settimane. Ogni gang ha lasciato la propria richiesta di riscatto e alcuni file sono stati cifrati tre volte.
A rivelarlo un nuovo whitepaper dal titolo Multiple Attackers: A Clear and Present Danger a cura di Sophos X-Ops, la nuova unità operativa trasversale di Sophos che mette in collegamento i tre team di esperti di cybersicurezza SophosLabs, Sophos SecOps e Sophos AI.
“È già abbastanza problematico ricevere una richiesta di riscatto, figuriamoci tre. La presenza di attacchi multipli crea un livello di complessità completamente nuovo per il recovery, in particolare quando i file della rete vengono cifrati tre volte.” – ha dichiarato John Shier, senior security advisor dell’azienda.
Il whitepaper delinea ulteriori casistiche di attacchi sovrapposti che comprendono cryptominer, RAT (Remote Access Trojan) e bot. In passato, quando più cybercriminali colpivano lo stesso sistema, le attività avvenivano solitamente nell’arco di svariati mesi se non anni.
Gli attacchi descritti ora, invece, si sono svolti nel giro di pochi giorni o settimane l’uno dall’altro e, in un caso, contemporaneamente, sfruttando spesso la medesima vulnerabilità.
In genere i gruppi criminali sono in competizione tra loro per prendere il possesso delle risorse desiderate, rendendo più difficili gli attacchi lanciati simultaneamente da più direzioni. I cryptominer sono soliti terminare i software concorrenti eventualmente presenti sullo stesso sistema e i moderni RAT pubblicizzano spesso sui forum criminali le loro capacità di bot killing.
Tuttavia, nel caso dell’attacco sferrato dalle tre gang specializzate in ransomware, l’ultimo gruppo entrato nel sistema, BlackCat, non solo ha cancellato le tracce della propria attività, ma ha anche di quelle di LockBit e Hive.
In un altro caso, un sistema era stato infettato dal ransomware LockBit. Circa tre mesi dopo, esponenti del team Karakurt, un gruppo collegato a Conti, sono stati in grado di sfruttare la backdoor creata da LockBit per sottrarre i dati e richiedere un riscatto.
“Nell’insieme, i gruppi che si occupano di ransomware non sembrano essere apertamente in concorrenza tra loro. Tant’è vero che LockBit esplicitamente non proibisce ai propri affiliati di collaborare con competitor, come indicato nel whitepaper Sophos” – ha commentato Shier.
“Non abbiamo prove di collaborazioni, ma è possibile che questo sia dovuto al fatto che gli autori degli attacchi si rendono conto che esiste un numero finito di “risorse” all’interno di un mercato sempre più competitivo. O, forse, ritengono che più alta è la pressione applicata sul bersaglio – ovvero più attacchi – più è probabile che le vittime paghino il riscatto.
Magari ci sono accordi ad alto livello con condizioni reciprocamente vantaggiose, per esempio un gruppo cifra i dati e un altro li esfiltra. A un certo punto questi gruppi dovranno decidere cosa fare di questa cooperazione – se potenziarla ulteriormente o se entrare in concorrenza tra loro – ma, per adesso, la strada è aperta agli attacchi provenienti da più gruppi differenti.” – ha aggiunto.
La maggior parte delle infezioni iniziali degli attacchi presentati nel whitepaper è avvenuta attraverso una vulnerabilità lasciata scoperta. Le più usate sono Log4Shell, ProxyLogon e ProxyShell. Sono spesso sfruttati anche server RDP (Remote Desktop Protocol) non protetti e configurati in modo carente.
Nella maggior parte delle casistiche dove sono intervenuti attaccanti multipli, le vittime non sono riuscite a reagire efficacemente all’attacco iniziale lasciando aperta la porta a ulteriori attività cybercriminali.
In queste situazioni, le medesime configurazioni RDP errate e applicazioni come RDWeb o AnyDesk hanno rappresentato una via facilmente percorribile per ulteriori attacchi. I server RDP e VPN esposti sono infatti uno degli articoli più venduti nel Dark Web.
“Come sottolineato nell’ultima edizione di Active Adversary Playbook, nel 2021 Sophos ha iniziato a vedere le aziende cadere vittime di molteplici attacchi simultanei indicando che questa può essere una tendenza crescente.
Anche se l’aumento degli attacchi multipli è ancora basato su prove empiriche, la disponibilità di sistemi attaccabili fornisce ai cybercriminali ampie opportunità di proseguire le loro attività in questa direzione” – ha concluso Shier.
Condividi l'articolo
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Le aziende italiane prevedono un aumento degli investimenti... La cybersecurity sta acquisendo sempre più importanza tra... -
Sophos Annual Threat Report: i malware e gli strumenti più... Nel 2024, le piccole e medie imprese, spesso considerate il... -
Down di MATLAB: MathWorks conferma l’attacco... MATLAB ha smesso di funzionare per quasi una settimana e... -
Acronis: l’italia traina la crescita MSP Nel corso del “TRU Security Day 2025” di... -
Akamai individua “BadSuccessor” per... I ricercatori di Akamai hanno individuato di recente...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Anubis, un nuovo ransomware che integra un wiper I ricercatori di Trend Micro hanno individuato Anubis, un... -
EchoLeak: è arrivata la prima vulnerabilità zero clic per... Nel gennaio 2025, i ricercatori di Aim Labs hanno... -
Smartwatch e attacchi acustici: nuova minaccia alle reti... Le reti air-gapped, ovvero fisicamente separate da Internet... -
Microsoft rilascia patch per 67 bug, di cui uno già... Nell’aggiornamento di sicurezza di giugno Microsoft... -
Un bug di Google consentiva di scoprire il numero di... Di recente Google ha agito su un bug che consentiva...
Ransomware: la serie
No posts found.
