Redazione RHC : 20 Febbraio 2025 07:13
Team di intelligence sulle minacce di Google ha reso pubblica l’informazione sul gruppo di hacker Triplestrength, finora sconosciuto, attivo dal 2020. Il gruppo è composto da poche persone, ma la portata delle sue operazioni è impressionante, secondo Genevieve Stark, a capo del team dedicato alla criminalità informatica, all’hacktivismo e alle operazioni informative del Google Threat Intelligence Group.
I criminali utilizzano un approccio multiforme agli attacchi, infettando i computer delle vittime con ransomware e prendendo contemporaneamente il controllo degli account cloud per estrazione di criptovalute. Allo stesso tempo, i membri del gruppo sono molto attivi sui forum degli hacker, dove offrono l’accesso ai server hackerati.
L’ambito di interesse degli aggressori comprendeva i server delle più grandi piattaforme cloud: Google Cloud, Amazon Web Services, Microsoft Azure, Linode, OVHCloud e Digital Ocean. Come ha dimostrato l’indagine, l’accesso alle credenziali degli utenti viene ottenuto tramite il malware infistealer Raccoon, che ruba informazioni dai computer Windows infetti.
Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber
«Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime. Non possiamo più permetterci di chiudere gli occhi».
Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca.
Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare.
Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura.
Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Gli analisti sottolineano che il gruppo separa deliberatamente le sue attività di estorsione da quelle di cryptomining. Il ransomware viene utilizzato solo per attaccare i sistemi locali, senza compromettere l’infrastruttura cloud. A differenza dei moderni gruppi criminali, Triplestrength non pratica la doppia estorsione con il furto di dati: al contrario, i file vengono semplicemente crittografati e viene richiesto un riscatto per il loro recupero.
Per la crittografia, gli aggressori utilizzano vari tipi di malware: Phobos, LokiLocker e RCRU64. Tutti questi programmi funzionano secondo il modello ransomware-as-a-service (RaaS), ma a differenza delle soluzioni più diffuse RansomHub e Lockbit, non forniscono servizi aggiuntivi, come piattaforme darknet per la pubblicazione di dati rubati o assistenza nelle negoziazioni del riscatto.
I metodi per penetrare inizialmente nei sistemi delle vittime si sono rivelati piuttosto semplici. Il gruppo non sfrutta vulnerabilità zero-day né tecniche sofisticate di escalation dei privilegi. La tattica principale è quella degli attacchi brute force automatizzati per accedere ai server desktop remoti. Dopo l’attacco, gli hacker si muovono nella rete dell’organizzazione, disattivando gli Antivirus oltre ad usare strumenti disponibili al pubblico come Mimikatz e NetScan.
Un esempio lampante di un attacco del genere si è verificato nel maggio 2024: dopo aver ottenuto l’accesso al server RDP forzando la password, gli aggressori sono penetrati nella rete aziendale, hanno disattivato i meccanismi di sicurezza e hanno distribuito RCRU64 su diversi computer con sistema operativo Windows.
Le informazioni sulle attività di Triplestrength sono apparse nel primo rapporto Threat Horizons di Google del 2025. Il collegamento tra estorsione e cryptomining è stato stabilito grazie ad annunci su Telegram, dove il gruppo cercava aiuto per distribuire RCRU64. I resoconti degli autori di questi messaggi corrispondono agli account utilizzati per organizzare l’attività mineraria illegale.
Le attività della gang nel settore delle criptovalute sono iniziate intorno al 2022. Inizialmente gli aggressori hanno sfruttato la potenza di calcolo dei computer locali delle vittime, ma poi sono passati all’infrastruttura cloud. Per estrarre denaro digitale viene utilizzata l’applicazione unMiner e il mining pool unMineable.
Google sta trasformando il suo motore di ricerca in una vetrina per l’intelligenza artificiale, e questo potrebbe significare un disastro per l’intera economia digitale. Secondo un nuovo...
Il panorama delle minacce non dorme mai, ma stavolta si è svegliato con il botto. Il 18 luglio 2025, l’azienda di sicurezza Eye Security ha lanciato un allarme che ha subito trovato eco ne...
Nel corso di un’operazione internazionale coordinata, denominata “Operation Checkmate”, le forze dell’ordine hanno sferrato un duro colpo al gruppo ransomware BlackSuit (qu...
Il Dipartimento di Giustizia degli Stati Uniti ha segnalato lo smantellamento di quattro piattaforme darknet utilizzate per la distribuzione di materiale pedopornografico. Contemporaneamente, un dicio...
“Combattere il cybercrime è come estirpare le erbacce: se non elimini le radici a fondo, queste ricresceranno” e oggi, più che mai, questa verità si conferma ess...
Iscriviti alla newsletter settimanale di Red Hot Cyber per restare sempre aggiornato sulle ultime novità in cybersecurity e tecnologia digitale.
Copyright @ REDHOTCYBER Srl
PIVA 17898011006