Aggiornamenti recenti Ottobre 28th, 2025 9:10 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- I cyberattacchi al governo U.S.A. sono quasi raddoppiati dopo lo “shutdown”
- Dante, lo spyware italiano usato in campagne di cyberspionaggio
- CERT-AGID 18–24 ottobre: phishing a tema PagoPA e Fascicolo Sanitario
- Il Pwn2Own Irlanda si è concluso con oltre 1 milione di dollari di vincite
- Lazarus ha colpito alcune compagnie europee del settore della difesa
Jumpy Pisces sta collaborando col gruppo ransomware Play
Il team di Unit 42 di Palo Alto Networks ha scoperto che il gruppo ransomware nord-coreano Jumpy Pisces ha cominciato a collaborare con il gruppo Play, fornitore di ransomware-as-a-service.
Si tratta di un cambiamento significativo delle attività del gruppo: è la prima volta che questi cybercriminali usano un’infrastruttura esistente per i loro attacchi, un potenziale segno della volontà di ampliare i propri confini d’azione.
Autore di crimini finanziari e campagne di cyberspionaggio dal 2022, il gruppo avrebbe cominciato a usare il ransomware di Play dallo scorso settembre; in particolare, a usare il servizio sarebbe Fiddling Scorpius, un sottogruppo del team principale.
La campagna è cominciata a maggio 2024: dopo aver sfruttato un account compromesso per l’accesso alla rete della vittima, il gruppo ha utilizzato Sliver, un tool open-source, e DTrack, un malware custom sviluppato dallo stesso team, per mantenere la persistenza. Questi strumenti hanno comunicato col server degli attaccanti per diversi mesi, fino a quando, a settembre, è cominciato l’attacco con il ransomware di Play.
Credits: Palo Alto Networks
Oltre a Sliver e Dtrack, gli attaccanti hanno usato un tool dedicato per creare un account con privilegi elevati sui dispositivi delle vittime e una versione personalizzata di Mimikatz per il dump delle credenziali. Infine, Fiddling Scorpius avrebbe usato anche un malware per sottrarre la cronologia di Chrome, Edge e Brave.
Ci sono diversi motivi per cui i ricercatori ritengono che Jumpy Pisces sia effettivamente legato a Play: in primo luogo, l’account compromesso usato per l’accesso iniziale era già stato usato in altre campagne del ransomware; inoltre, ci sono numerose somiglianze tra le tattiche e le tecniche usate dai due gruppi.
Al momento non è chiaro se Jumpy Pisces è diventato un affiliato ufficiale di Play o se si è limitato a vendere l’accesso iniziale alle reti al gruppo. “In ogni caso, questo incidente di sicurezza è significativo perché segna la prima collaborazione registrata tra Jumpy Pisces, gruppo nord-coreano appoggiato dal governo, e una rete di ransomware clandestina” affermano i ricercatori. Il timore è che questo tipo di collaborazione diventi un vero e proprio trend in cui i gruppi nord-coreani parteciperanno a campagne ransomware sempre più ampie, con conseguenze estese globalmente.
Condividi l'articolo
Niente sospensione per Piracy Shield, il punto di vista di Giomi
Fortinet rileva numerose attività nella darknet in vista delle elezioni U.S.A.
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Dante, lo spyware italiano usato in campagne di... Dante, un sofisticato e finora sconosciuto spyware... -
Cyberattacchi: estorsioni e ransomware dietro la metà... Le campagne di estorsione e i ransomware continuano a... -
In Italia oltre 2.000 attacchi settimana, ben più della... Il Global Threat Intelligence Report di settembre... -
ChatGPT Agent può essere usato per esfiltrare dati ChatGPT Agent può essere usato per esfiltrare dati: lo ha... -
La complessità delle password non è così importante. Lo... Aumentare la complessità delle password, richiedendo...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
I cyberattacchi al governo U.S.A. sono quasi raddoppiati... L’interruzione delle attività governative negli... -
Dante, lo spyware italiano usato in campagne di... Dante, un sofisticato e finora sconosciuto spyware...
-
CERT-AGID 18–24 ottobre: phishing a tema PagoPA e... Nel periodo compreso tra il 18 e il 24 ottobre,... -
Il Pwn2Own Irlanda si è concluso con oltre 1 milione di... Il Pwn2Own di ottobre, tenutosi a Cork, in Irlanda, si... -
Lazarus ha colpito alcune compagnie europee del settore... Una recente analisi di ESET riporta che il gruppo...
Ransomware: la serie
No posts found.