Gli operatori associati al sottogruppo Lazarus BlueNoroff sono stati collegati a una serie di cyberattacchi rivolti a piccole e medie imprese in tutto il mondo con l’obiettivo di drenare i loro fondi in criptovaluta, in quella che è un’altra operazione criminale con scopi finanziari messa in piedi dal prolifico attore nordcoreano sponsorizzato dallo stato.

La società russa di cybersicurezza Kaspersky, che sta seguendo le intrusioni sotto il nome di “SnatchCrypto“, ha notato che la campagna è in corso dal 2017, aggiungendo che gli attacchi sono rivolti alle startup del settore FinTech situate in Cina, Hong Kong, India, Polonia, Russia, Singapore, Slovenia, Repubblica Ceca, Emirati Arabi Uniti, Stati Uniti, Ucraina e Vietnam.

“Gli aggressori hanno abusato sottilmente della fiducia dei dipendenti che lavorano nelle aziende prese di mira, inviando loro una backdoor Windows completa con funzioni di sorveglianza, mascherata da un contratto o un altro file aziendale“, hanno detto i ricercatori. “Al fine di svuotare alla fine il portafoglio di criptovalute della vittima, l’attore ha sviluppato risorse estese e pericolose: infrastrutture complesse, exploit e impianti di malware“.

Segui la nostra rubrica dedicata al mondo delle criptovalute

Non meno di 70 siti web gestiti dal governo ucraino sono andati offline venerdì per ore in quello che sembra essere un attacco informatico coordinato in mezzo alle crescenti tensioni con la Russia.

“Come risultato di un massiccio attacco informatico, i siti web del Ministero degli Affari Esteri e un certo numero di altre agenzie governative sono temporaneamente giù“, ha twittato Oleg Nikolenko, portavoce del MAE.

Il Servizio di sicurezza dell’Ucraina, l’autorità di polizia del paese, ha alluso a un possibile coinvolgimento russo, puntando il dito contro i gruppi apt associati ai servizi segreti russi, mentre marchiava le intrusioni come un attacco alla catena di approvvigionamento che ha riguardato la compromissione della “infrastruttura di una società commerciale che aveva accesso ai diritti di amministrare le risorse web colpite dall’attacco“.

Proprio nei giorni precedenti, vi è stato un annuncio dell’intelligence americana per quel che concerne il rischio delle infrastrutture informatiche kazake e ucraine di essere attaccate, mentre con questa ultima operazione di defacing dei siti web istituzionali torna alla memoria il periodo degli attacchi firmati dall’apt russo Sandworm.

Il gruppo ReVil è stato soppresso dall’intelligence russa. E’ la notizia più importante del momento se consideriamo le crisi informatiche degli ultimi giorni che hanno causato squilibri politici in Kazakistan ed Ucraina secondo molti ad opera degli stessi russi. Il video della cattura da parte dell’FSB di alcuni dei componenti di una delle ransomware gang più temute nel pianeta è stato pubblicato online dalla giornalista del Washington Post Mary Ilyushina.

La giornalista ha dichiarato pubblicamente che, secondo le sue fonti, la richiesta di arresto da parte dei servizi segreti russi sia stata una cortesia alle pressioni degli USA, ma l’inusitata operazione di polizia che cade all’indomani delle accuse di attacchi informatici di tipo militare ai danni dei due paesi dell’ex Unione Sovietica, fa sollevare sospetti su una mediazione avvenuta tra Usa, Europa ed i russi. Nel corso dei blitz sono stati rinvenuti molti contanti, sia di valuta russa che di dollaro statunitense, oltre agli attrezzi del mestiere come dispositivi informatici.

Chi è Revil?

Il gruppo Revil è ideatore dell’omonimo ransomware ed è stato uno dei primi gruppi criminali a fornire un sistema di ransomware as service temuto anche dalla polizia internazionale per la sua propagazione su larga scala. Le vittime di Revil sono state molte in questi anni ed anche illustri se consideriamo Quanta technologies, Lady Gaga, Donald Trump e molti altri ancora.