Google Scopre Triplestrength: il gruppo Ransomware che colpisce il Cloud per estrarre Criptovalute

Team di intelligence sulle minacce di Google ha reso pubblica l’informazione sul gruppo di hacker Triplestrength, finora sconosciuto, attivo dal 2020. Il gruppo è composto da poche persone, ma la portata delle sue operazioni è impressionante, secondo Genevieve Stark, a capo del team dedicato alla criminalità informatica, all’hacktivismo e alle operazioni informative del Google Threat Intelligence Group.

I criminali utilizzano un approccio multiforme agli attacchi, infettando i computer delle vittime con ransomware e prendendo contemporaneamente il controllo degli account cloud per estrazione di criptovalute. Allo stesso tempo, i membri del gruppo sono molto attivi sui forum degli hacker, dove offrono l’accesso ai server hackerati.

L’ambito di interesse degli aggressori comprendeva i server delle più grandi piattaforme cloud: Google Cloud, Amazon Web Services, Microsoft Azure, Linode, OVHCloud e Digital Ocean. Come ha dimostrato l’indagine, l’accesso alle credenziali degli utenti viene ottenuto tramite il malware infistealer Raccoon, che ruba informazioni dai computer Windows infetti.

CVE Enrichment Mentre la finestra tra divulgazione pubblica di una vulnerabilità e sfruttamento si riduce sempre di più, Red Hot Cyber ha lanciato un servizio pensato per supportare professionisti IT, analisti della sicurezza, aziende e pentester: un sistema di monitoraggio gratuito che mostra le vulnerabilità critiche pubblicate negli ultimi 3 giorni dal database NVD degli Stati Uniti e l'accesso ai loro exploit su GitHub. Cosa trovi nel servizio: ✅ Visualizzazione immediata delle CVE con filtri per gravità e vendor. ✅ Pagine dedicate per ogni CVE con arricchimento dati (NIST, EPSS, percentile di rischio, stato di sfruttamento CISA KEV). ✅ Link ad articoli di approfondimento ed exploit correlati su GitHub, per ottenere un quadro completo della minaccia. ✅ Funzione di ricerca: inserisci un codice CVE e accedi subito a insight completi e contestualizzati. Ricerca per singola CVE Ricerca le ultime CVE emesse Articolo sul CVE enrichment Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Gli analisti sottolineano che il gruppo separa deliberatamente le sue attività di estorsione da quelle di cryptomining. Il ransomware viene utilizzato solo per attaccare i sistemi locali, senza compromettere l’infrastruttura cloud. A differenza dei moderni gruppi criminali, Triplestrength non pratica la doppia estorsione con il furto di dati: al contrario, i file vengono semplicemente crittografati e viene richiesto un riscatto per il loro recupero.

Per la crittografia, gli aggressori utilizzano vari tipi di malware: Phobos, LokiLocker e RCRU64. Tutti questi programmi funzionano secondo il modello ransomware-as-a-service (RaaS), ma a differenza delle soluzioni più diffuse RansomHub e Lockbit, non forniscono servizi aggiuntivi, come piattaforme darknet per la pubblicazione di dati rubati o assistenza nelle negoziazioni del riscatto.

I metodi per penetrare inizialmente nei sistemi delle vittime si sono rivelati piuttosto semplici. Il gruppo non sfrutta vulnerabilità zero-day né tecniche sofisticate di escalation dei privilegi. La tattica principale è quella degli attacchi brute force automatizzati per accedere ai server desktop remoti. Dopo l’attacco, gli hacker si muovono nella rete dell’organizzazione, disattivando gli Antivirus oltre ad usare strumenti disponibili al pubblico come Mimikatz e NetScan.

Un esempio lampante di un attacco del genere si è verificato nel maggio 2024: dopo aver ottenuto l’accesso al server RDP forzando la password, gli aggressori sono penetrati nella rete aziendale, hanno disattivato i meccanismi di sicurezza e hanno distribuito RCRU64 su diversi computer con sistema operativo Windows.

Le informazioni sulle attività di Triplestrength sono apparse nel primo rapporto Threat Horizons di Google del 2025. Il collegamento tra estorsione e cryptomining è stato stabilito grazie ad annunci su Telegram, dove il gruppo cercava aiuto per distribuire RCRU64. I resoconti degli autori di questi messaggi corrispondono agli account utilizzati per organizzare l’attività mineraria illegale.

Le attività della gang nel settore delle criptovalute sono iniziate intorno al 2022. Inizialmente gli aggressori hanno sfruttato la potenza di calcolo dei computer locali delle vittime, ma poi sono passati all’infrastruttura cloud. Per estrarre denaro digitale viene utilizzata l’applicazione unMiner e il mining pool unMineable.

Ti è piaciutno questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.