Categorie
Sicurezza Informatica

Ex-membri di Conti e sviluppatori di FIN7 diffondono nuovo malware Domino

Gruppi cybercriminali uniscono le loro risorse per colpire reti aziendali con il nuovo malware Domino, creando una minaccia combinata ancora più pericolosa

Ex-membri del gruppo ransomware Conti si sono uniti agli attori delle minacce FIN7 per distribuire una nuova famiglia di malware chiamata “Domino” in attacchi alle reti aziendali.

La famiglia di malware Domino e i suoi componenti

Domino è una nuova famiglia di malware composta da due componenti: un backdoor chiamato “Domino Backdoor” e un “Domino Loader” che inietta una DLL di malware ruba-informazioni nella memoria di un altro processo. I ricercatori di IBM Security Intelligence stanno monitorando gli ex-membri di Conti e TrickBot che utilizzano il nuovo malware in attacchi dal febbraio 2023.

Il collegamento tra Domino e il gruppo di hacking FIN7

Un nuovo rapporto di IBM rilasciato venerdì collega lo sviluppo del malware Domino al gruppo di hacking FIN7, un’organizzazione cybercriminale legata a vari malware e alle operazioni ransomware di BlackBasta e DarkSide.

Gli attacchi con il malware Domino

Dal 2022, i ricercatori di IBM hanno monitorato attacchi che utilizzano un loader di malware chiamato “Dave Loader”, collegato a ex-membri dei ransomware Conti e TrickBot. Questo loader è stato visto distribuire i beacon Cobalt Strike che utilizzano un watermark “206546002”, osservato in attacchi degli ex-membri di Conti nelle operazioni ransomware Royal e Play.

Ex-membri di Conti si alleano con FIN7

Gli attori delle minacce, in particolare quelli che utilizzano ransomware, collaborano spesso con altri gruppi per distribuire malware e ottenere accesso iniziale alle reti aziendali. Nel corso del tempo, i confini tra gli sviluppatori di malware e le bande di ransomware si sono offuscati, rendendo difficile distinguere tra le due operazioni.

Annunci

IBM ha attribuito la famiglia di malware Domino a FIN7 a causa di un’elevata sovrapposizione di codice con Lizar (anche noto come Tirion e DiceLoader), un kit di strumenti post-sfruttamento associato a FIN7.

Un’intreccio complesso di attori delle minacce e malware

In una complessa joint venture, abbiamo il Dave Loader (TrickBot/Conti) che spinge il malware Domino (FIN7), che a sua volta distribuisce Project Nemesis o beacon Cobalt Strike associati all’attività ransomware degli ex-membri di Conti. Ciò significa che i difensori devono affrontare una rete confusa di attori delle minacce, tutti con malware

Di Livio Varriale

Giornalista e scrittore: le sue specializzazioni sono in Politica, Crimine Informatico, Comunicazione Istituzionale, Cultura e Trasformazione digitale. Autore del saggio sul Dark Web e il futuro della società digitale “La prigione dell’umanità” e di “Cultura digitale”. Appassionato di Osint e autore di diverse ricerche pubblicate da testate Nazionali. Attivista contro l’abuso dei minori, il suo motto è “Coerenza, Costanza, CoScienza”.

Exit mobile version