Sicurezza Informatica
Gruppo Conti: l’analisi d’intelligence del gruppo in lingua italiana
Tempo di lettura: 2 minuti. Una luce editoriale di “casa” in un contesto da sempre esterofilo
Il libro “Il ransomware nell’economia delle cybercrime: analisi d’intelligence sul gruppo Conti” scritto da Giuseppe Brando, Marco Di Costanzo e Camilla Salini, tre esperti di analisi delle minacce cyber, fornisce una dettagliata analisi sul fenomeno del ransomware, ovvero un tipo di malware che cifra l’infrastruttura IT di un’organizzazione e chiede un riscatto per sbloccarla, minacciando di pubblicare i dati. Il libro, scritto in italiano da italiani, illustra il funzionamento delle cybergang criminali, le loro tecniche e le procedure per poter comprendere i modelli con cui agiscono e implementare le giuste mitigazioni per contrastarle. In particolare, il libro si concentra sul gruppo Conti, tra i più attivi nel ransomware, che ha preso di mira ospedali, enti governativi, istituzioni finanziarie e aziende di tutto il mondo, arrivando a incassare dai riscatti più di 200 miliardi di dollari.
Il libro affronta il tema della criminalità informatica e dei gruppi specializzati in operazioni cibernetiche illegali altamente sofisticate. Si fa riferimento al conflitto russo-ucraino, che ha fornito esempi tangibili di come i gruppi cybercrime possono esserne parte attiva, schierandosi politicamente a favore di una parte o dell’altra e utilizzando le loro capacità e strategie per interferire negli equilibri geopolitici e nei conflitti tra Stati. Il libro si concentra sulla storia del cybercrime, passando per l’evoluzione del ransomware come modello di business illecito, per poi focalizzarsi sulle operazioni e sulle dinamiche di Conti, un collettivo russofono di cybercriminali noto per aver preso di mira ospedali, entità governative, istituzioni finanziarie e aziende di tutto il mondo. Si stima che i pagamenti e gli introiti totali dei riscatti di Conti abbiano superato i 150 milioni di dollari. Il libro descrive come Conti abbia offerto il suo pieno sostegno alla Federazione russa dopo l’invasione dell’Ucraina nel 2022 e come, tre giorni dopo, sia comparso online l’account Twitter @ContiLeaks, grazie al quale sono state individuate le prove tangibili che hanno permesso di studiare le dinamiche di Conti, gli strumenti e le infrastrutture usate per gli attacchi informatici, le modalità operative dell’organizzazione, fino all’identificazione di probabili legami con le agenzie di intelligence del governo russo. Il libro approfondisce anche le caratteristiche comportamentali dei criminali informatici e le motivazioni che li spingono a eseguire azioni di questo genere. In sintesi, il libro offre uno sguardo sulla realtà della criminalità informatica e delle sue implicazioni geopolitiche.
Sicurezza Informatica
Marko Polo prende di mira criptovalute e gamer con infostealer
Tempo di lettura: 3 minuti. L’operazione globale Marko Polo prende di mira utenti di criptovalute e gamer con malware infostealer.
L’operazione di cybercriminalità conosciuta come Marko Polo, recentemente scoperta, ha portato alla compromissione di decine di migliaia di dispositivi a livello globale, puntando in particolare su utenti di criptovalute, gamer e sviluppatori di software. Secondo un’indagine condotta dal gruppo di ricerca Insikt Group, il gruppo Marko Polo utilizza una vasta gamma di malware infostealer, inclusi AMOS, Stealc e Rhadamanthys, per rubare dati sensibili. Le tecniche di attacco impiegate spaziano dal spearphishing all’uso di marchi falsi e campagne di malvertising per indurre le vittime a scaricare software dannoso. Questo approccio rappresenta una seria minaccia sia per i consumatori che per le aziende, con potenziali perdite finanziarie nell’ordine di milioni di euro.
Tecniche di attacco e malware utilizzati
Il gruppo Marko Polo utilizza una combinazione di strumenti sofisticati e tecniche di social engineering per raggiungere i propri obiettivi. Tra le tattiche più efficaci vi sono gli attacchi di spearphishing attraverso messaggi diretti sui social media, che prendono di mira principalmente personalità del mondo delle criptovalute e del gaming. Le vittime vengono spesso convinte a scaricare software dannoso, credendo che si tratti di offerte di lavoro legittime o opportunità di collaborazione.
L’operazione ha colpito in particolar modo utenti che utilizzano sia sistemi Windows che macOS, dimostrando l’abilità del gruppo di operare su più piattaforme. Su Windows, il malware più diffuso è Stealc, un infostealer che raccoglie dati da browser e applicazioni di criptovalute. Un altro malware utilizzato è Rhadamanthys, capace di rubare una vasta gamma di informazioni, inclusi dati delle criptovalute. Invece, per gli utenti macOS, Marko Polo utilizza AMOS, un malware capace di accedere ai dati critici del portachiavi Apple, rubare credenziali Wi-Fi, password e altre informazioni criptate.
Distribuzione del malware e impatto globale
L’indagine di Recorded Future ha identificato oltre 30 campagne distinte e 50 varianti di malware utilizzate nell’operazione Marko Polo. Questi malware vengono distribuiti attraverso una vasta gamma di canali, tra cui pubblicità dannose, file torrent e persino software di meeting online falsi. Alcuni dei marchi più comunemente utilizzati per queste truffe includono Fortnite, Zoom, e RuneScape. Le vittime, spesso inconsapevoli del rischio, scaricano questi programmi dannosi dai siti web compromessi, mettendo a rischio la loro privacy e i loro dati finanziari.
Il gruppo ha guadagnato milioni di euro attraverso queste operazioni, e il numero di dispositivi compromessi potrebbe continuare a crescere. Questo tipo di attacco non solo espone gli utenti privati al furto di identità e ai danni finanziari, ma rappresenta anche un rischio per le aziende, con potenziali violazioni dei dati e danni alla reputazione aziendale.
L’operazione Marko Polo dimostra l’evoluzione costante delle minacce cibernetiche, in cui i gruppi di cybercriminali sviluppano tecniche sempre più sofisticate e mirate per colpire specifici settori, come quello delle criptovalute e del gaming. Il successo di questa operazione, che ha portato alla compromissione di migliaia di dispositivi e a perdite finanziarie considerevoli, sottolinea la necessità di difese adattabili e consapevolezza della sicurezza informatica. Aziende e utenti privati devono essere costantemente vigili per proteggersi da queste minacce in continua evoluzione.
Sicurezza Informatica
Twelve prende di mira la Russia con attacchi devastanti
Il gruppo hacktivista Twelve utilizza un arsenale di strumenti disponibili pubblicamente per condurre attacchi distruttivi contro obiettivi allocati in Russia. A differenza dei classici gruppi ransomware che chiedono riscatti, Twelve preferisce criptare i dati delle vittime e successivamente distruggere l’infrastruttura con un wiper, impedendo qualsiasi tentativo di recupero.
Questo approccio riflette l’intento del gruppo di causare il massimo danno possibile senza derivarne un beneficio finanziario diretto. Fondato nell’aprile 2023, Twelve è emerso nel contesto della guerra russo-ucraina e ha condotto una serie di attacchi volti a paralizzare le reti delle vittime, interrompendo le operazioni aziendali.
Analisi della catena di attacco di Twelve e il suo impatto globale
Nel 2024, il gruppo cybercriminale noto come Twelve ha attirato l’attenzione pubblicando dati personali di individui sul suo canale Telegram. Sebbene il canale sia stato successivamente bloccato per violazione delle norme di Telegram, il gruppo è rimasto attivo, utilizzando tecniche avanzate per attacchi cyber, tra cui la cancellazione e crittografia di dati sensibili, rendendo il recupero delle informazioni quasi impossibile.
Il gruppo Twelve e la sua affiliazione con DARKSTAR
Fondato nell’aprile 2023 nel contesto del conflitto russo-ucraino, Twelve si è specializzato nell’attacco a organizzazioni governative della Russia. L’obiettivo principale del gruppo è causare danni massimi alle sue vittime. Utilizzano tecniche condivise con il gruppo di ransomware DARKSTAR, che si concentra su estorsioni tramite doppia crittografia. Questa collaborazione tra i due gruppi riflette la complessità delle moderne minacce cibernetiche, in cui obiettivi e tattiche variano all’interno di uno stesso sindacato.
Catena di attacco Unified Kill Chain
L’analisi delle azioni del gruppo Twelve viene condotta seguendo la metodologia Unified Kill Chain, che segmenta un attacco informatico in diverse fasi, dalla compromissione iniziale fino all’impatto finale. In particolare, il gruppo ha dimostrato una notevole capacità di infiltrazione nelle reti aziendali utilizzando strumenti ben noti come Cobalt Strike, Mimikatz, PowerView e altri per ottenere l’accesso e muoversi lateralmente all’interno delle infrastrutture IT delle vittime.
Fasi dell’attacco: Infiltrazione, sfruttamento e movimento laterale
Durante la fase iniziale, Twelve si affida spesso all’accesso tramite account legittimi di dominio, VPN o certificati SSH. Utilizzano strumenti di scansione e analisi come Advanced IP Scanner e BloodHound per ottenere informazioni sulle infrastrutture di rete delle vittime. Per l’escalation dei privilegi, vengono sfruttati comandi PowerShell e strumenti per alterare le policy di dominio.
Nella fase di esecuzione, Twelve distribuisce malware attraverso il sistema di pianificazione delle attività di Windows, eseguendo script in PowerShell per avviare ransomware e wiper (strumenti per cancellare dati). L’algoritmo di ransomware, basato su codice LockBit 3.0, è configurato per crittografare i dati delle vittime in modo rapido ed efficiente, lasciando pochi segni del proprio passaggio.
Impatto finale e crittografia dati
L’obiettivo principale del gruppo è la compromissione della confidenzialità, integrità e disponibilità delle informazioni delle vittime. Utilizzando strumenti come 7z per archiviare i dati rubati, Twelve li carica su piattaforme di condivisione file come DropMeFiles, garantendo una rapida esfiltrazione dei dati sensibili. I ransomware distribuiti hanno caratteristiche avanzate, tra cui la capacità di diffondersi in rete e cancellare i log di sistema per evitare il rilevamento.
Il gruppo Twelve, analizzato da Kaspersky, si basa su un arsenale di strumenti pubblicamente disponibili, rendendo potenzialmente più semplice la rilevazione e la prevenzione dei suoi attacchi e la sua capacità distruttiva, di concerto con l’affiliazione a gruppi come DARKSTAR, rappresenta una minaccia significativa per le entità della Russia.
Sicurezza Informatica
Lazarus continua con offerte di lavoro
Tempo di lettura: 2 minuti. Un gruppo di hacker nordcoreani prende di mira i settori energetico e aerospaziale con attacchi di phishing e un malware chiamato MISTPEN.
Lazarus, gruppo APT collegato alla Corea del Nord identificato come UNC2970 da Mandiant, ha lanciato una serie di attacchi mirati contro il settore energetico e aerospaziale. Questi attacchi si basano su campagne di phishing camuffate da offerte di lavoro, con l’obiettivo di compromettere le reti aziendali e accedere a informazioni sensibili tramite un malware chiamato MISTPEN.
Le offerte di lavoro di Lazarus
Lazarus si presenta come un gruppo di reclutatori, inviando e-mail e messaggi WhatsApp con offerte di lavoro per attirare l’attenzione di dirigenti e manager di alto livello nel settore dell’energia e dell’aerospazio. I messaggi contengono offerte di lavoro apparentemente legittime, corredate da file ZIP che includono una descrizione di lavoro in formato PDF. Tuttavia, il file PDF può essere aperto solo utilizzando una versione trojanizzata di Sumatra PDF, un visualizzatore PDF open-source.
Una volta che la vittima apre il file PDF con il software compromesso, viene eseguito un launcher chiamato BURNBOOK, che attiva il malware MISTPEN. Questo malware consente agli hacker di ottenere l’accesso remoto al sistema infetto, raccogliendo informazioni sensibili e trasferendo file eseguibili dal server di comando e controllo degli aggressori.
La minaccia rappresentata da MISTPEN
MISTPEN è una backdoor leggera, scritta in C, progettata per scaricare ed eseguire file da un server remoto. Questo malware utilizza una libreria DLL trojanizzata, wtsapi32.dll, per avviare la catena di infezione. Una volta installato, il malware comunica con il server degli aggressori attraverso URL di Microsoft Graph, garantendo un flusso continuo di dati tra la vittima e gli attaccanti.
Sfruttamento di software open-source
UNC2970 ha dimostrato un’abilità notevole nel modificare versioni open-source di software legittimi come Sumatra PDF. Questo approccio permette loro di evitare sospetti e compromettere i sistemi utilizzando programmi che, all’apparenza, sembrano sicuri. È importante notare che non si tratta di un attacco alla catena di fornitura, poiché non è stata rilevata alcuna vulnerabilità nel software originale, ma di una versione modificata dagli hacker.
- Intelligenza Artificiale1 settimana fa
Scoperta rivoluzionaria: molecole trasformano il futuro del calcolo
- Sicurezza Informatica7 giorni fa
Esplosioni di cercapersone in Libano: è guerra cibernetica?
- Inchieste2 giorni fa
Hezbollah, guerra elettronica o cibernetica? Quando accadrà a noi?
- Economia1 settimana fa
GFI Software si affida a CoreTech per il canale in UK
- Sicurezza Informatica4 giorni fa
Iran spia il comitato di Trump e mobilita l’APT UNC1860
- Sicurezza Informatica3 giorni fa
Lazarus continua con offerte di lavoro
- Sicurezza Informatica3 giorni fa
FTC denuncia i social media: adolescenti spiati come adulti
- Sicurezza Informatica7 giorni fa
23andMe paga 30 milioni per risolvere causa databreach