Il gruppo di cyber criminali finanziariamente motivato noto come UNC3944 sta espandendo le sue strategie di monetizzazione, virando verso il deployment di ransomware, come rivelato da Mandiant, una nota azienda di intelligence sulle minacce. Ecco un’analisi dettagliata delle recenti attività del gruppo.
Focus sull’estorsione e comprensione delle pratiche occidentali
UNC3944 ha dimostrato un interesse crescente nel rubare grandi quantità di dati sensibili a scopo di estorsione. Il gruppo sembra comprendere le pratiche commerciali occidentali, probabilmente a causa della composizione geografica del gruppo stesso. Inoltre, ha costantemente fatto affidamento su strumenti pubblicamente disponibili e software legittimo, combinati con malware acquistabile su forum underground.
Tattiche di infiltrazione e settori bersaglio
Conosciuto anche con i nomi 0ktapus, Scatter Swine e Scattered Spider, il gruppo è attivo dal 2022 e utilizza tecniche di ingegneria sociale telefonica e phishing basato su SMS per ottenere credenziali valide dei dipendenti attraverso pagine di accesso fasulle, infiltrandosi così nelle organizzazioni vittime. Inizialmente focalizzato su aziende di telecomunicazioni e di outsourcing dei processi aziendali (BPO), ha poi ampliato i suoi obiettivi includendo settori come l’ospitalità, il retail, i media e l’intrattenimento, e i servizi finanziari.
Tecniche di impersonificazione e abuso di risorse cloud
Una caratteristica distintiva del gruppo è l’uso delle credenziali delle vittime per impersonare i dipendenti durante le chiamate al servizio di assistenza dell’organizzazione, nel tentativo di ottenere codici di autenticazione multifattore (MFA) e/o reset delle password. In alcuni casi, hanno abusato delle risorse cloud delle organizzazioni vittime per ospitare utility malevole, disabilitare firewall e software di sicurezza, e distribuirli ad altri endpoint, evidenziando l’evoluzione delle tecniche del gruppo.
Collaborazione con il gruppo BlackCat
Recentemente, UNC3944 è emerso come affiliato del gruppo di ransomware BlackCat (noto anche come ALPHV o Noberus), sfruttando il suo nuovo status per violare MGM Resorts e distribuire malware criptante file. Durante le operazioni di ransomware, gli attori della minaccia sembrano puntare specificamente a macchine virtuali e altri sistemi critici per l’azienda, probabilmente nel tentativo di massimizzare l’impatto sulle vittime.