Sicurezza Informatica
Collaborazione tra Andariel e Play Ransomware
Andariel si allea con Play ransomware: una nuova minaccia cyber nordcoreana in collaborazione con Play aumenta il rischio globale.
Il gruppo di minaccia sponsorizzato dallo Stato nordcoreano, Andariel, ha recentemente dimostrato una crescente cooperazione con il gruppo Play ransomware, noto anche come Fiddling Scorpius, attraverso una serie di attacchi sofisticati e mirati a infrastrutture critiche. Secondo Unit 42, Jumpy Pisces, strettamente legato all’Ufficio Generale di Ricognizione dell’Esercito Popolare di Corea, è attivo in campagne di spionaggio e cybercrime da anni, ma questa nuova partnership segna un cambiamento strategico significativo. Questa alleanza implica un aumento del rischio per le vittime, poiché gli attacchi mirano a espandere il coinvolgimento nel panorama globale delle minacce ransomware.
La prima collaborazione tra Jumpy Pisces e Play Ransomware
Unit 42 ha riscontrato un cambio di approccio per Jumpy Pisces: il gruppo si è associato con il gruppo Play ransomware, potenzialmente come broker di accesso iniziale (IAB) o come affiliato diretto, sfruttando un’infrastruttura di ransomware esistente. Questa nuova strategia apre a una più profonda integrazione dei gruppi di minaccia nordcoreani nel contesto globale del ransomware, con implicazioni preoccupanti per aziende e istituzioni.
Jumpy Pisces, noto anche come Andariel o Onyx Sleet, ha una storia di attacchi mirati a furti finanziari e spionaggio. In passato, il gruppo ha usato ransomware sviluppati su misura come Maui, che lo hanno portato a essere incriminato dal Dipartimento di Giustizia degli Stati Uniti. La recente cooperazione con Play ransomware segna però la prima occasione documentata in cui Jumpy Pisces adotta un’infrastruttura di ransomware già esistente.
Fasi e tecniche di attacco
Nell’indagine di Unit 42, è stato scoperto che Jumpy Pisces ha avuto accesso iniziale alla rete di una vittima tramite un account compromesso. Attraverso questo punto di accesso, il gruppo ha eseguito movimenti laterali all’interno della rete, diffondendo strumenti come Sliver (una piattaforma di red teaming open-source) e il malware DTrack, utilizzando il protocollo SMB. L’attività è proseguita da maggio fino a settembre 2024, con una ripetuta comunicazione al server di comando e controllo (C2) di Jumpy Pisces, culminando con la distribuzione del ransomware Play.
Durante gli attacchi, sono state rilevate tecniche sofisticate per garantire persistenza e minimizzare la rilevazione. Tra le tecniche utilizzate figurano il dump delle credenziali tramite Impacket (con il modulo secretsdump.py
), la creazione di account privilegiati con il protocollo RDP e l’utilizzo di un malware specifico per estrarre dati dai browser come Chrome ed Edge. I file di malware sono stati firmati con certificati invalidi, collegati in precedenza a Jumpy Pisces, per camuffarsi come software legittimo.
Nuove strategie Ransomware e considerazioni sui Rischi Futuri
Il gruppo Fiddling Scorpius, associato al ransomware Play, ha smentito l’uso di un modello ransomware-as-a-service (RaaS), affermando di non mettere a disposizione la propria infrastruttura come servizio. Tuttavia, la cooperazione con Jumpy Pisces suggerisce la possibilità che Play stia utilizzando una rete chiusa di affiliati. La sequenza temporale degli eventi evidenzia come Jumpy Pisces abbia continuato a comunicare con il C2 fino al giorno precedente alla distribuzione del ransomware, a dimostrazione di un’efficace catena di attacco. Strumenti come PsExec e TokenPlayer, posizionati nella cartella “C:\Users\Public\Music”, sono stati utilizzati per la propagazione del malware e la disattivazione di sistemi di rilevamento, come i sensori EDR.
Implicazioni e raccomandazioni per la Sicurezza
Questo caso rappresenta una tendenza crescente nelle attività dei gruppi di minaccia sponsorizzati dallo Stato nordcoreano. La collaborazione tra Jumpy Pisces e gruppi ransomware come Play aumenta il potenziale di attacchi su larga scala e amplifica i danni per le infrastrutture internazionali. Unit 42 raccomanda agli esperti di sicurezza di considerare ogni attività di Jumpy Pisces come un possibile preludio ad attacchi ransomware e di potenziare le difese di rete, utilizzando soluzioni come Cortex XDR, Advanced WildFire, Advanced URL Filtering e Advanced DNS Security.