Aggiornamenti recenti Novembre 21st, 2024 8:55 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Come playlist e podcast su Spotify promuovono software pirata
- Google scopre 26 nuove vulnerabilità con l’IA di OSS-Fuzz
- Una grave data breach ha colpito le aziende statunitensi di telecomunicazioni
- Scoperta una nuova variante del ransomware Helldown che colpisce Linux
- Una vulnerabilità di un plugin di WordPress mette a rischio più di 4 milioni di siti
Attacchi ransomware multipli: un nuovo pericolo
Sophos ha rilevato tre attacchi ransomware consecutivi contro la stessa rete da gruppi criminali diversi. La vittima ha ricevuto tre differenti richieste di riscatto per i file cifrati tre volte
Tre importanti gang specializzate in ransomware (Hive, LockBit e BlackCat) hanno attaccato consecutivamente la medesima rete. I primi due attacchi si sono svolti nell’arco di due ore, mentre il terzo è avvenuto a distanza di due settimane. Ogni gang ha lasciato la propria richiesta di riscatto e alcuni file sono stati cifrati tre volte.
A rivelarlo un nuovo whitepaper dal titolo Multiple Attackers: A Clear and Present Danger a cura di Sophos X-Ops, la nuova unità operativa trasversale di Sophos che mette in collegamento i tre team di esperti di cybersicurezza SophosLabs, Sophos SecOps e Sophos AI.
“È già abbastanza problematico ricevere una richiesta di riscatto, figuriamoci tre. La presenza di attacchi multipli crea un livello di complessità completamente nuovo per il recovery, in particolare quando i file della rete vengono cifrati tre volte.” – ha dichiarato John Shier, senior security advisor dell’azienda.
Il whitepaper delinea ulteriori casistiche di attacchi sovrapposti che comprendono cryptominer, RAT (Remote Access Trojan) e bot. In passato, quando più cybercriminali colpivano lo stesso sistema, le attività avvenivano solitamente nell’arco di svariati mesi se non anni.
Gli attacchi descritti ora, invece, si sono svolti nel giro di pochi giorni o settimane l’uno dall’altro e, in un caso, contemporaneamente, sfruttando spesso la medesima vulnerabilità.
In genere i gruppi criminali sono in competizione tra loro per prendere il possesso delle risorse desiderate, rendendo più difficili gli attacchi lanciati simultaneamente da più direzioni. I cryptominer sono soliti terminare i software concorrenti eventualmente presenti sullo stesso sistema e i moderni RAT pubblicizzano spesso sui forum criminali le loro capacità di bot killing.
Tuttavia, nel caso dell’attacco sferrato dalle tre gang specializzate in ransomware, l’ultimo gruppo entrato nel sistema, BlackCat, non solo ha cancellato le tracce della propria attività, ma ha anche di quelle di LockBit e Hive.
In un altro caso, un sistema era stato infettato dal ransomware LockBit. Circa tre mesi dopo, esponenti del team Karakurt, un gruppo collegato a Conti, sono stati in grado di sfruttare la backdoor creata da LockBit per sottrarre i dati e richiedere un riscatto.
“Nell’insieme, i gruppi che si occupano di ransomware non sembrano essere apertamente in concorrenza tra loro. Tant’è vero che LockBit esplicitamente non proibisce ai propri affiliati di collaborare con competitor, come indicato nel whitepaper Sophos” – ha commentato Shier.
“Non abbiamo prove di collaborazioni, ma è possibile che questo sia dovuto al fatto che gli autori degli attacchi si rendono conto che esiste un numero finito di “risorse” all’interno di un mercato sempre più competitivo. O, forse, ritengono che più alta è la pressione applicata sul bersaglio – ovvero più attacchi – più è probabile che le vittime paghino il riscatto.
Magari ci sono accordi ad alto livello con condizioni reciprocamente vantaggiose, per esempio un gruppo cifra i dati e un altro li esfiltra. A un certo punto questi gruppi dovranno decidere cosa fare di questa cooperazione – se potenziarla ulteriormente o se entrare in concorrenza tra loro – ma, per adesso, la strada è aperta agli attacchi provenienti da più gruppi differenti.” – ha aggiunto.
La maggior parte delle infezioni iniziali degli attacchi presentati nel whitepaper è avvenuta attraverso una vulnerabilità lasciata scoperta. Le più usate sono Log4Shell, ProxyLogon e ProxyShell. Sono spesso sfruttati anche server RDP (Remote Desktop Protocol) non protetti e configurati in modo carente.
Nella maggior parte delle casistiche dove sono intervenuti attaccanti multipli, le vittime non sono riuscite a reagire efficacemente all’attacco iniziale lasciando aperta la porta a ulteriori attività cybercriminali.
In queste situazioni, le medesime configurazioni RDP errate e applicazioni come RDWeb o AnyDesk hanno rappresentato una via facilmente percorribile per ulteriori attacchi. I server RDP e VPN esposti sono infatti uno degli articoli più venduti nel Dark Web.
“Come sottolineato nell’ultima edizione di Active Adversary Playbook, nel 2021 Sophos ha iniziato a vedere le aziende cadere vittime di molteplici attacchi simultanei indicando che questa può essere una tendenza crescente.
Anche se l’aumento degli attacchi multipli è ancora basato su prove empiriche, la disponibilità di sistemi attaccabili fornisce ai cybercriminali ampie opportunità di proseguire le loro attività in questa direzione” – ha concluso Shier.
Condividi l'articolo
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove... -
Aumentano le compromissioni di account email delle forze... L’FBI ha lanciato un allarme: stando a un avviso... -
Scoperta CRON#TRAP, campagna che emula ambienti Linux per... I ricercatori di Securonix hanno scoperto CRON#TRAP, una... -
Report APT ESET: i gruppi filo-cinesi e iraniani... Le minacce APT sono in aumento e in molti casi stanno... -
Kaspersky ha collaborato a Synergia II, operazione... Kaspersky ha collaborato a Synergia II, operazione...
Minacce recenti
Off topic
-
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul... -
In Microsoft le paghe dei manager dipenderanno dal livello... L’ultimo non è stato un buon anno per Microsoft:...
Post recenti
-
Come playlist e podcast su Spotify promuovono software... Playlist e podcast sono l’esca ideale per attirare ignari... -
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove...
-
Una grave data breach ha colpito le aziende statunitensi di... Una campagna di spionaggio a opera di hacker cinesi ha... -
Scoperta una nuova variante del ransomware Helldown che... I ricercatori di Sekoia hanno individuato una nuova... -
Una vulnerabilità di un plugin di WordPress mette a... István Márton, ricercatore di Wordfence, ha individuato...
Ransomware: la serie
No posts found.
