Red Hot Cyber

La cybersecurity è condivisione.
Riconosci il rischio, combattilo, condividi le tue esperienze ed 
incentiva gli altri a fare meglio di te.

Cerca
Crowdstrike

ALPHV/BlackCat, ci porterà verso il brivido della quarta estorsione?

Massimiliano Brolli : 15 Giugno 2022 07:24

Autore: Luca Mella, Massimiliano Brolli
Data pubblicazione: 14/06/2022

Nella giornata di ieri, abbiamo individuato un sito creato dalla cybergang ALPHV che ha creato un dominio identico all’azienda violata, ma con estensione differente, dove ha pubblicato i dati esfiltrati dalla vittima.

Si tratta nello specifico dell’attacco effettuato da ALPHV/BlackCat a TheAllison[.]com, riportato nel data-leak-site della cybergang ransomware, un resort di lusso americano.

Post sulla Home Page di ALPHV/BlackCat

Supporta Red Hot Cyber attraverso

Cliccando sul post di ALPHV sul suo DLS, accediamo nei dettagli dove è presente un ulteriore sito creato dalla cybergang https://theallison[.]xyz/ a supporto dell’estorsione

Post che riporta il dominio https://theallison.xyz/

Accedendo al sito, si vede che la cybergang ha preparato una schermata molto semplice che riporta, scaricabili liberamente, i dati degli impiegati e dei clienti dell’azienda.

Home page del sito https://theallison.xyz/

Infatti, accedendo ad una delle due sezioni, atterriamo ad una nuova pagina dove è possibile ricercare le persone e dove sono presenti i loro dati principali.

Sono presenti inoltre all’interno della lista, dei tasti sulla destra dove è possibile scaricare un archivio in formato zip afferente a quella persona, con i dati specifici richiesti.

Schermata dove è possibile ricercare un impiegato o un cliente e scaricare i dati personali

Cliccando sul tasto “Full Data”, è possibile scaricare le informazioni del soggetto ricercato in un file zip dove all’interno sono presenti anche delle informazioni sanitarie.

Schermata di esempio di informazioni relative ad una persona.

Conclusioni

Stiamo assistendo ad un cambio importante di tecniche tattiche e procedure (TTPs) da parte di ALPHV/BlackCat, dove la perdita dei dati viene organizzata e resa visibile sul clear-web attraverso un sito che riporta i dati in modo organizzato e strutturato.

Sicuramente l’accessibilità dei dati sulla rete Onion rappresenta un ostacolo per le cybergang criminali, pertanto disporre di un sito con lo stesso nome dell’azienda violata ma con estensione diversa, potrebbe ottenere maggiore pressione sulla vittima.

Ricordiamo che lo stesso metodo utilizzato oggi da ALPHV/BlackCat, venne utilizzato nel 2021 da payload.bin per un preciso caso di estorsione.

In ultima analisi, i dati organizzati suddivisi tra clienti ed impiegati fanno pensare ad una ulteriore evoluzione della cosa, ovvero la rivendita puntuale dei dati verso uno specifico cliente e non verso l’organizzazione, la quale magari, non ha pagato il riscatto.

Infatti al sito manca solo un carrello per il pagamento in criptovaluta per poter far “riappropriare” i dati dalle singole persone, previa la promessa da parte dei criminali che tali dati verranno cancellati e non rimessi in vendita nelle underground.

Stiamo assistendo ad un avvio della “quarta estorsione”?

Massimiliano Brolli
Responsabile del RED Team di TIM S.p.a. e dei laboratori di sicurezza informatica in ambito 4G/5G. Ha rivestito incarichi manageriali in Telecom Italia che vanno dal ICT Risk Management all’ingegneria del software alla docenza.
Categorie
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

Redazione: [email protected]
© Copyright RED HOT CYBER. PIVA 16821691009