Aggiornamenti recenti Novembre 21st, 2024 2:11 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Google scopre 26 nuove vulnerabilità con l’IA di OSS-Fuzz
- Una grave data breach ha colpito le aziende statunitensi di telecomunicazioni
- Scoperta una nuova variante del ransomware Helldown che colpisce Linux
- Una vulnerabilità di un plugin di WordPress mette a rischio più di 4 milioni di siti
- Le falle di sicurezza nei toolkit ML più diffusi
Un attacco wiper mascherato da ransomware contro bersagli israeliani
Un attacco hacker che sembra un ransomware lanciato per lucro che in realtà cancella irreversibilmente i dati di bersagli strategici. Sembra la trama di un film, ma sta succedendo in Israele.
Una storia che ha il sapore di uno Spy Movie hollywoodiano, ma che è la realtà all’ordine del giorno nel cyber warfare, il ramo delle scienze belliche che ha a che fare con il mondo IT. In questo caso sono stati i Sentinel Labs a portare alla luce una serie di attività sospette.
Portate avanti da un nuovo gruppo chiamato Agrius, si tratta di attacchi rivolti verso bersagli israeliani, che però hanno una peculiarità. All’apparenza si presentano come “semplici” ransomware, con tanto di richiesta di riscatto e tutte le attività a corollario. Solo che dietro questa facciata si celano attacchi Wiper, finalizzati a cancellare in modo irreversibile i dati del bersaglio.
Una tecnica che si è evoluta nel tempo: le funzionalità ransomware sono state introdotte nel malware di proprietà del gruppo, chiamato Apostle solo nel corso del 2020, secondo quanto riportano i laboratori si SentinelOne che hanno monitorato le attività di Agrius per più di un anno, con l’aggiunta di un secondo tool, Deadwood o Detbosit, apparentemente collegato, anche se senza reali conferme, a un gruppo iraniano.
Sempre secondo l’analisi, sotto la superficie di un apparente ransomware si nascondono diverse varianti di wiper. L’attacco viene intenzionalmente mascherato come una tipica attività lucrativa, mentre i dati vengono eliminati. Un comportamento anomalo per i gruppi che si muovono per denaro, il che porta gli analisti a pensare che si tratti di gruppi sponsorizzati da qualche governo.
Il modus operandi di Agrius
Gli analisti sono riusciti anche a ricostruire uno schema di comportamento che il gruppo usa nelle sue attività. Di solito il punto di ingresso sono SQL injection lanciate contro applicazioni web sfruttando gli 1-day exploit, in pratica le vulnerabilità appena scoperte che non sono ancora state risolte.
L’accesso ai sistemi della vittima avviene attraverso servizi di VPN anonime, molto spesso ProtonVPN, che Agrius usa per installare una web shell, uno script in grado di mantenere l’accesso e il controllo attivi. Quasi sempre si tratta di varianti di ASPXSpy, un malware Open Source.
La shell viene usata per raccogliere credenziali ed effettuare movimenti laterali nel sistema attraverso il solito protocollo RDP (Remote Desktop Protocol) di Windows, installare nuove Web Shell, ottenere credenziali più elevate e così via.
Nell’analisi di Sentinel Labs, le shell installate in questo modo provenivano principalmente dall’Iran, ma anche dal Pakistan, dall’Arabia Saudita e dagli Emirati Arabi Uniti. Un comportamento che apparentemente fa pensare ad attività di origine iraniana.
Attraverso le Shell, il gruppo utilizza un malware chiamato IPsec Helper per controllare la disponibilità di una connessione, connettersi a server Microsoft predeterminati e scaricare il malware Apostle, la vera arma dell’operazione. Che, come abbiamo visto, è stato progettato per sembrare un ransomware ma distruggere i dati dei bersagli.
Oltre ai bersagli israeliani, Agrius avrebbe attaccato anche infrastrutture statali negli Emirati Arabi Uniti, già note per essere state oggetto delle attenzioni da gruppi sospettati di essere iraniani.
Condividi l'articolo
Svezia: cyber attacco blocca la raccolta di statistiche sul Covid
Falla nei PLC Siemens: a rischio i sistemi industriali
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove... -
Aumentano le compromissioni di account email delle forze... L’FBI ha lanciato un allarme: stando a un avviso... -
Scoperta CRON#TRAP, campagna che emula ambienti Linux per... I ricercatori di Securonix hanno scoperto CRON#TRAP, una... -
Report APT ESET: i gruppi filo-cinesi e iraniani... Le minacce APT sono in aumento e in molti casi stanno... -
Kaspersky ha collaborato a Synergia II, operazione... Kaspersky ha collaborato a Synergia II, operazione...
Minacce recenti
Off topic
-
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul... -
In Microsoft le paghe dei manager dipenderanno dal livello... L’ultimo non è stato un buon anno per Microsoft:...
Post recenti
-
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove...
-
Una grave data breach ha colpito le aziende statunitensi di... Una campagna di spionaggio a opera di hacker cinesi ha... -
Scoperta una nuova variante del ransomware Helldown che... I ricercatori di Sekoia hanno individuato una nuova... -
Una vulnerabilità di un plugin di WordPress mette a... István Márton, ricercatore di Wordfence, ha individuato... -
Le falle di sicurezza nei toolkit ML più diffusi La sicurezza dei toolkit ML continua a essere minacciata...
Ransomware: la serie
No posts found.
