Il Gruppo italiano Arcese sotto scacco da Conti ransomware.

Redazione RHC : 12 Gennaio 2022 09:45

Il Gruppo Arcese fornisce servizi innovativi a copertura dell’intera supply chain, rispondendo ad ogni esigenza tecnica e operativa dei propri clienti con soluzioni ad elevato valore aggiunto per il trasporto terrestre, per le spedizioni via mare e aereo, per la gestione dei magazzini e per la logistica integrata.

Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)? Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence".  A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.   Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.  Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected] Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Il Gruppo rappresenta la scelta giusta per migliaia di aziende che nel mondo operano nei settori più diversi: dall’automotive all’industria cartaria, dal comparto tessile alla moda, dalla chimica alla tecnologia. Abbiamo una soluzione su misura per ognuna delle tue esigenze di trasporto, e logistica integrata.

Oggi è apparso sul Data Leak Site della cyber gang Conti, un post che riporta la violazione delle infrastrutture IT dell’azienda, dove sono stati esfiltrti 276k files per un totale di circa 80GB.

Andando a scaricare i file contenuti nel sito, sono presenti una serie di informazioni sensibili, nonchè anche elementi per effettuare movimenti laterali all’interno della rete, utilizzando dei file di estensione rdp (rdp file configuration).

Inoltre sono presenti all’interno dei dati esfiltrati moltissime fatture, documenti di trasporto e molto altro ancora. Probabilmente, dal volume dei dati pubblicati (si tratta del 40% del totale) la trattativa con l’azienda non sta avendo un grande successo.

RHC monitorerà la questione in modo da aggiornare il seguente articolo, qualora ci siano novità sostanziali. Nel caso ci siano persone informate sui fatti che volessero fornire informazioni sulla vicenda, possono accedere alla sezione contatti, oppure in forma anonima utilizzando la mail crittografata del whistleblower.

Chi è Conti Ransomware

Conti è una cyber gang che adotta il modello ransomware-as-a-service (RaaS), anche se la sua struttura presenta variazioni che la differenziano da un tipico modello di affiliazione.

È probabile che i vertici dell’organizzazione di Conti paghino degli sviluppatori di malware con uno stipendio fisso anziché una percentuale dei proventi utilizzati dagli attori informatici affiliati, ricevendo una quota dei proventi di un attacco riuscito.

Gli attori Conti spesso ottengono l’accesso iniziale alle reti attraverso:

• Campagne di spearphishing che utilizzano e-mail personalizzate che contengono allegati dannosi o collegamenti dannosi. Gli allegati di Word spesso contengono script incorporati che possono essere utilizzati per scaricare o rilasciare altro malware, come TrickBot e IcedID e/o Cobalt Strike, per poi effettuare dei movimenti laterali nelle fasi successive dell’attacco;
• Credenziali RDP (Remote Desktop Protocol) rubate o deboli oppure acquistate dai broker di accesso;
• Chiamate telefoniche;
• Software falso promosso tramite l’ottimizzazione dei motori di ricerca;
• Altre reti di distribuzione di malware (ad es. ZLoader);
• Vulnerabilità comuni negli asset ICT.

Nella fase di esecuzione, gli attori eseguono un payload getuid prima di utilizzare un malware più aggressivo per ridurre il rischio di attivare i motori antivirus.

La CISA e l’FBI hanno osservato Conti utilizzare dei Router Scan, telecamere e dispositivi di archiviazione collegati alla rete con interfacce web per effettuare l’accesso illecito alle infrastrutture. Inoltre, gli attori utilizzano anche attacchi Kerberos per tentare di ottenere l’hash di amministrazione e condurre attacchi di forza bruta.

È noto che gli attori Conti sfruttano software di monitoraggio e gestione remoti legittimi e software desktop remoto come backdoor per mantenere la persistenza sulle reti delle vittime. Gli attori utilizzano strumenti già disponibili sulla rete delle vittime e, se necessario, aggiungono strumenti aggiuntivi , come Windows Sysinternals e Mimikatz, per ottenere gli hash e le credenziali di testo non crittografato degli utenti, che consentono agli attori di aumentare i privilegi all’interno di un dominio ed eseguire altre attività post-sfruttamento e di spostamento laterale.

In alcuni casi, gli attori utilizzano anche il malware TrickBot per svolgere attività successive di sfruttamento.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli