Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Team di intelligence sulle minacce di Google ha reso pubblica l’informazione sul gruppo di hacker Triplestrength, finora sconosciuto, attivo dal 2020. Il gruppo è composto da poche persone, ma la portata delle sue operazioni è impressionante, secondo Genevieve Stark, a capo del team dedicato alla criminalità informatica, all’hacktivismo e alle operazioni informative del Google Threat Intelligence Group.
I criminali utilizzano un approccio multiforme agli attacchi, infettando i computer delle vittime con ransomware e prendendo contemporaneamente il controllo degli account cloud per estrazione di criptovalute. Allo stesso tempo, i membri del gruppo sono molto attivi sui forum degli hacker, dove offrono l’accesso ai server hackerati.
L’ambito di interesse degli aggressori comprendeva i server delle più grandi piattaforme cloud: Google Cloud, Amazon Web Services, Microsoft Azure, Linode, OVHCloud e Digital Ocean. Come ha dimostrato l’indagine, l’accesso alle credenziali degli utenti viene ottenuto tramite il malware infistealer Raccoon, che ruba informazioni dai computer Windows infetti.
Gli analisti sottolineano che il gruppo separa deliberatamente le sue attività di estorsione da quelle di cryptomining. Il ransomware viene utilizzato solo per attaccare i sistemi locali, senza compromettere l’infrastruttura cloud. A differenza dei moderni gruppi criminali, Triplestrength non pratica la doppia estorsione con il furto di dati: al contrario, i file vengono semplicemente crittografati e viene richiesto un riscatto per il loro recupero.
Per la crittografia, gli aggressori utilizzano vari tipi di malware: Phobos, LokiLocker e RCRU64. Tutti questi programmi funzionano secondo il modello ransomware-as-a-service (RaaS), ma a differenza delle soluzioni più diffuse RansomHub e Lockbit, non forniscono servizi aggiuntivi, come piattaforme darknet per la pubblicazione di dati rubati o assistenza nelle negoziazioni del riscatto.
I metodi per penetrare inizialmente nei sistemi delle vittime si sono rivelati piuttosto semplici. Il gruppo non sfrutta vulnerabilità zero-day né tecniche sofisticate di escalation dei privilegi. La tattica principale è quella degli attacchi brute force automatizzati per accedere ai server desktop remoti. Dopo l’attacco, gli hacker si muovono nella rete dell’organizzazione, disattivando gli Antivirus oltre ad usare strumenti disponibili al pubblico come Mimikatz e NetScan.
Un esempio lampante di un attacco del genere si è verificato nel maggio 2024: dopo aver ottenuto l’accesso al server RDP forzando la password, gli aggressori sono penetrati nella rete aziendale, hanno disattivato i meccanismi di sicurezza e hanno distribuito RCRU64 su diversi computer con sistema operativo Windows.
Le informazioni sulle attività di Triplestrength sono apparse nel primo rapporto Threat Horizons di Google del 2025. Il collegamento tra estorsione e cryptomining è stato stabilito grazie ad annunci su Telegram, dove il gruppo cercava aiuto per distribuire RCRU64. I resoconti degli autori di questi messaggi corrispondono agli account utilizzati per organizzare l’attività mineraria illegale.
Le attività della gang nel settore delle criptovalute sono iniziate intorno al 2022. Inizialmente gli aggressori hanno sfruttato la potenza di calcolo dei computer locali delle vittime, ma poi sono passati all’infrastruttura cloud. Per estrarre denaro digitale viene utilizzata l’applicazione unMiner e il mining pool unMineable.
