Aggiornamenti recenti Novembre 6th, 2024 10:30 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Jumpy Pisces sta collaborando col gruppo ransomware Play
- Fortinet rileva numerose attività nella darknet in vista delle elezioni U.S.A.
- Elezioni U.S.A.: la disinformazione di Cina, Russia e Iran potenziata dall’IA
- CERT-AGID 26 ottobre – 1 novembre: 59 campagne malevole e una campagna contro Namiral
- Malware mobile in aumento: trovate oltre 200 applicazioni dannose sul Google Play Store
Jumpy Pisces sta collaborando col gruppo ransomware Play
Il team di Unit 42 di Palo Alto Networks ha scoperto che il gruppo ransomware nord-coreano Jumpy Pisces ha cominciato a collaborare con il gruppo Play, fornitore di ransomware-as-a-service.
Si tratta di un cambiamento significativo delle attività del gruppo: è la prima volta che questi cybercriminali usano un’infrastruttura esistente per i loro attacchi, un potenziale segno della volontà di ampliare i propri confini d’azione.
Autore di crimini finanziari e campagne di cyberspionaggio dal 2022, il gruppo avrebbe cominciato a usare il ransomware di Play dallo scorso settembre; in particolare, a usare il servizio sarebbe Fiddling Scorpius, un sottogruppo del team principale.
La campagna è cominciata a maggio 2024: dopo aver sfruttato un account compromesso per l’accesso alla rete della vittima, il gruppo ha utilizzato Sliver, un tool open-source, e DTrack, un malware custom sviluppato dallo stesso team, per mantenere la persistenza. Questi strumenti hanno comunicato col server degli attaccanti per diversi mesi, fino a quando, a settembre, è cominciato l’attacco con il ransomware di Play.
Credits: Palo Alto Networks
Oltre a Sliver e Dtrack, gli attaccanti hanno usato un tool dedicato per creare un account con privilegi elevati sui dispositivi delle vittime e una versione personalizzata di Mimikatz per il dump delle credenziali. Infine, Fiddling Scorpius avrebbe usato anche un malware per sottrarre la cronologia di Chrome, Edge e Brave.
Ci sono diversi motivi per cui i ricercatori ritengono che Jumpy Pisces sia effettivamente legato a Play: in primo luogo, l’account compromesso usato per l’accesso iniziale era già stato usato in altre campagne del ransomware; inoltre, ci sono numerose somiglianze tra le tattiche e le tecniche usate dai due gruppi.
Al momento non è chiaro se Jumpy Pisces è diventato un affiliato ufficiale di Play o se si è limitato a vendere l’accesso iniziale alle reti al gruppo. “In ogni caso, questo incidente di sicurezza è significativo perché segna la prima collaborazione registrata tra Jumpy Pisces, gruppo nord-coreano appoggiato dal governo, e una rete di ransomware clandestina” affermano i ricercatori. Il timore è che questo tipo di collaborazione diventi un vero e proprio trend in cui i gruppi nord-coreani parteciperanno a campagne ransomware sempre più ampie, con conseguenze estese globalmente.
Condividi l'articolo
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Fortinet rileva numerose attività nella darknet in vista... I FortiGuard Labs di Fortinet hanno individuato attività... -
Elezioni U.S.A.: la disinformazione di Cina, Russia e Iran... Era già successo durante le ultime elezioni e sta... -
Malware mobile in aumento: trovate oltre 200 applicazioni... Oltre 200 applicazioni dannose che contano più di 8... -
Al Pwn2Own di ottobre sono state sfruttate oltre 70... Il 25 ottobre si è concluso il quarto e ultimo giorno di... -
Il tracciamento digitale è senza regole: il caso Babel... Se in passato il tracciamento digitale era considerata una...
Minacce recenti
Off topic
-
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul... -
In Microsoft le paghe dei manager dipenderanno dal livello... L’ultimo non è stato un buon anno per Microsoft:...
Post recenti
-
Jumpy Pisces sta collaborando col gruppo ransomware Play Il team di Unit 42 di Palo Alto Networks ha... -
Fortinet rileva numerose attività nella darknet in vista... I FortiGuard Labs di Fortinet hanno individuato attività...
-
Elezioni U.S.A.: la disinformazione di Cina, Russia e Iran... Era già successo durante le ultime elezioni e sta...
-
CERT-AGID 26 ottobre – 1 novembre: 59 campagne malevole e... Questa settimana, il CERT-AGID ha analizzato 59 campagne... -
Malware mobile in aumento: trovate oltre 200 applicazioni... Oltre 200 applicazioni dannose che contano più di 8...
Ransomware: la serie
No posts found.
