Un attore minaccioso non identificato è stato collegato a un attacco informatico contro una società di generazione di energia in Africa meridionale. L’attacco ha utilizzato una nuova variante del malware SystemBC, denominata DroxiDat, come preludio a un sospetto attacco ransomware.
Dettagli dell’attacco
La backdoor capace di proxy, DroxiDat, è stato distribuito insieme ai Cobalt Strike Beacons in un’infrastruttura critica di una nazione dell’Africa meridionale. L’azienda di cybersecurity russa Kaspersky ha rivelato che l’attacco, avvenuto alla fine di marzo 2023, era nelle sue fasi iniziali e coinvolgeva l’uso di DroxiDat per profilare il sistema e instradare il traffico di rete tramite il protocollo SOCKS5 verso e dalla struttura di comando e controllo (C2).
Caratteristiche di SystemBC
SystemBC è un malware basato su C/C++ e uno strumento amministrativo remoto che è stato osservato per la prima volta nel 2019. La sua caratteristica principale è quella di configurare proxy SOCKS5 sui computer delle vittime, che possono poi essere utilizzati dagli attori minacciosi per instradare il traffico malevolo associato ad altri malware. Le varianti più recenti del malware possono anche scaricare ed eseguire payload aggiuntivi.
DroxiDat e il suo legame con gli attacchi ransomware
L’uso di SystemBC come canale per gli attacchi ransomware è stato documentato in passato. Nel dicembre 2020, Sophos ha rivelato che gli operatori di ransomware si affidavano al RAT SystemBC come backdoor Tor pronto all’uso per le infezioni Ryuk ed Egregor. DroxiDat, d’altro canto, è stato collegato alla distribuzione di ransomware a seguito di un incidente legato al settore sanitario, in cui si ritiene che il ransomware Nokoyawa sia stato distribuito insieme a Cobalt Strike.
Identità degli attori minacciosi
L’identità degli attori minacciosi dietro questa ondata di attacchi rimane sconosciuta. Tuttavia, le prove esistenti suggeriscono la probabile partecipazione di gruppi di ransomware russi, in particolare FIN12 (noto anche come Pistachio Tempest), che è noto per distribuire SystemBC insieme ai Cobalt Strike Beacons per effettuare attacchi ransomware.
Aumento degli attacchi ransomware
Il numero di attacchi ransomware contro organizzazioni industriali e infrastrutture è raddoppiato dal secondo trimestre del 2022, passando da 125 nel Q2 2022 a 253 nel Q2 2023, secondo quanto riportato da Dragos. Questo dato rappresenta anche un aumento del 18% rispetto al trimestre precedente.