Redazione RHC : 20 Febbraio 2025 07:13
Team di intelligence sulle minacce di Google ha reso pubblica l’informazione sul gruppo di hacker Triplestrength, finora sconosciuto, attivo dal 2020. Il gruppo è composto da poche persone, ma la portata delle sue operazioni è impressionante, secondo Genevieve Stark, a capo del team dedicato alla criminalità informatica, all’hacktivismo e alle operazioni informative del Google Threat Intelligence Group.
I criminali utilizzano un approccio multiforme agli attacchi, infettando i computer delle vittime con ransomware e prendendo contemporaneamente il controllo degli account cloud per estrazione di criptovalute. Allo stesso tempo, i membri del gruppo sono molto attivi sui forum degli hacker, dove offrono l’accesso ai server hackerati.
L’ambito di interesse degli aggressori comprendeva i server delle più grandi piattaforme cloud: Google Cloud, Amazon Web Services, Microsoft Azure, Linode, OVHCloud e Digital Ocean. Come ha dimostrato l’indagine, l’accesso alle credenziali degli utenti viene ottenuto tramite il malware infistealer Raccoon, che ruba informazioni dai computer Windows infetti.
Distribuisci i nostri corsi di formazione diventando un nostro Affiliato
Se sei un influencer, gestisci una community, un blog, un profilo social o semplicemente hai tanta voglia di diffondere cultura digitale e cybersecurity, questo è il momento perfetto per collaborare con RHC Academy. Unisciti al nostro Affiliate Program: potrai promuovere i nostri corsi online e guadagnare provvigioni ad ogni corso venduto. Fai parte del cambiamento. Diffondi conoscenza, costruisci fiducia, genera valore.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Gli analisti sottolineano che il gruppo separa deliberatamente le sue attività di estorsione da quelle di cryptomining. Il ransomware viene utilizzato solo per attaccare i sistemi locali, senza compromettere l’infrastruttura cloud. A differenza dei moderni gruppi criminali, Triplestrength non pratica la doppia estorsione con il furto di dati: al contrario, i file vengono semplicemente crittografati e viene richiesto un riscatto per il loro recupero.
Per la crittografia, gli aggressori utilizzano vari tipi di malware: Phobos, LokiLocker e RCRU64. Tutti questi programmi funzionano secondo il modello ransomware-as-a-service (RaaS), ma a differenza delle soluzioni più diffuse RansomHub e Lockbit, non forniscono servizi aggiuntivi, come piattaforme darknet per la pubblicazione di dati rubati o assistenza nelle negoziazioni del riscatto.
I metodi per penetrare inizialmente nei sistemi delle vittime si sono rivelati piuttosto semplici. Il gruppo non sfrutta vulnerabilità zero-day né tecniche sofisticate di escalation dei privilegi. La tattica principale è quella degli attacchi brute force automatizzati per accedere ai server desktop remoti. Dopo l’attacco, gli hacker si muovono nella rete dell’organizzazione, disattivando gli Antivirus oltre ad usare strumenti disponibili al pubblico come Mimikatz e NetScan.
Un esempio lampante di un attacco del genere si è verificato nel maggio 2024: dopo aver ottenuto l’accesso al server RDP forzando la password, gli aggressori sono penetrati nella rete aziendale, hanno disattivato i meccanismi di sicurezza e hanno distribuito RCRU64 su diversi computer con sistema operativo Windows.
Le informazioni sulle attività di Triplestrength sono apparse nel primo rapporto Threat Horizons di Google del 2025. Il collegamento tra estorsione e cryptomining è stato stabilito grazie ad annunci su Telegram, dove il gruppo cercava aiuto per distribuire RCRU64. I resoconti degli autori di questi messaggi corrispondono agli account utilizzati per organizzare l’attività mineraria illegale.
Le attività della gang nel settore delle criptovalute sono iniziate intorno al 2022. Inizialmente gli aggressori hanno sfruttato la potenza di calcolo dei computer locali delle vittime, ma poi sono passati all’infrastruttura cloud. Per estrarre denaro digitale viene utilizzata l’applicazione unMiner e il mining pool unMineable.
RedazioneSecondo un nuovo rapporto del gruppo per i diritti umani Amnesty International, pubblicato dopo quasi due anni di ricerche sulla situazione, la Cambogia resta un punto caldo sulla mappa mondiale della...
Hunters International, il gruppo responsabile di uno dei più grandi attacchi ransomware degli ultimi anni, ha annunciato ufficialmente la cessazione delle sue attività. In una dichiarazione ...
I ricercatori di Okta hanno notato che aggressori sconosciuti stanno utilizzando lo strumento di intelligenza artificiale generativa v0 di Vercel per creare pagine false che imitano qu...
Google è al centro di un’imponente causa in California che si è conclusa con la decisione di pagare oltre 314 milioni di dollari agli utenti di smartphone Android nello stato. Una giu...
La RHC Conference 2025, organizzata da Red Hot Cyber, ha rappresentato un punto di riferimento per la comunità italiana della cybersecurity, offrendo un ricco programma di talk, workshop e compet...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
