Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Select language
English Spanish
Cerca

Il Gruppo italiano Arcese sotto scacco da Conti ransomware.

Redazione RHC : 12 Gennaio 2022 09:45

Il Gruppo Arcese fornisce servizi innovativi a copertura dell’intera supply chain, rispondendo ad ogni esigenza tecnica e operativa dei propri clienti con soluzioni ad elevato valore aggiunto per il trasporto terrestre, per le spedizioni via mare e aereo, per la gestione dei magazzini e per la logistica integrata.


CALL FOR SPONSOR - Sponsorizza l'ottavo episodio della serie Betti-RHC

Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Conosci il nostro corso sul cybersecurity awareness a fumetti? Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati.

Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]



Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


Il Gruppo rappresenta la scelta giusta per migliaia di aziende che nel mondo operano nei settori più diversi: dall’automotive all’industria cartaria, dal comparto tessile alla moda, dalla chimica alla tecnologia. Abbiamo una soluzione su misura per ognuna delle tue esigenze di trasporto, e logistica integrata.

Oggi è apparso sul Data Leak Site della cyber gang Conti, un post che riporta la violazione delle infrastrutture IT dell’azienda, dove sono stati esfiltrti 276k files per un totale di circa 80GB.

Andando a scaricare i file contenuti nel sito, sono presenti una serie di informazioni sensibili, nonchè anche elementi per effettuare movimenti laterali all’interno della rete, utilizzando dei file di estensione rdp (rdp file configuration).

Inoltre sono presenti all’interno dei dati esfiltrati moltissime fatture, documenti di trasporto e molto altro ancora. Probabilmente, dal volume dei dati pubblicati (si tratta del 40% del totale) la trattativa con l’azienda non sta avendo un grande successo.

RHC monitorerà la questione in modo da aggiornare il seguente articolo, qualora ci siano novità sostanziali. Nel caso ci siano persone informate sui fatti che volessero fornire informazioni sulla vicenda, possono accedere alla sezione contatti, oppure in forma anonima utilizzando la mail crittografata del whistleblower.

Chi è Conti Ransomware

Conti è una cyber gang che adotta il modello ransomware-as-a-service (RaaS), anche se la sua struttura presenta variazioni che la differenziano da un tipico modello di affiliazione.

È probabile che i vertici dell’organizzazione di Conti paghino degli sviluppatori di malware con uno stipendio fisso anziché una percentuale dei proventi utilizzati dagli attori informatici affiliati, ricevendo una quota dei proventi di un attacco riuscito.

Gli attori Conti spesso ottengono l’accesso iniziale alle reti attraverso:

  • Campagne di spearphishing che utilizzano e-mail personalizzate che contengono allegati dannosi o collegamenti dannosi. Gli allegati di Word spesso contengono script incorporati che possono essere utilizzati per scaricare o rilasciare altro malware, come TrickBot e IcedID e/o Cobalt Strike, per poi effettuare dei movimenti laterali nelle fasi successive dell’attacco;
  • Credenziali RDP (Remote Desktop Protocol) rubate o deboli oppure acquistate dai broker di accesso;
  • Chiamate telefoniche;
  • Software falso promosso tramite l’ottimizzazione dei motori di ricerca;
  • Altre reti di distribuzione di malware (ad es. ZLoader);
  • Vulnerabilità comuni negli asset ICT.

Nella fase di esecuzione, gli attori eseguono un payload getuid prima di utilizzare un malware più aggressivo per ridurre il rischio di attivare i motori antivirus.

La CISA e l’FBI hanno osservato Conti utilizzare dei Router Scan, telecamere e dispositivi di archiviazione collegati alla rete con interfacce web per effettuare l’accesso illecito alle infrastrutture. Inoltre, gli attori utilizzano anche attacchi Kerberos per tentare di ottenere l’hash di amministrazione e condurre attacchi di forza bruta.

È noto che gli attori Conti sfruttano software di monitoraggio e gestione remoti legittimi e software desktop remoto come backdoor per mantenere la persistenza sulle reti delle vittime. Gli attori utilizzano strumenti già disponibili sulla rete delle vittime e, se necessario, aggiungono strumenti aggiuntivi , come Windows Sysinternals e Mimikatz, per ottenere gli hash e le credenziali di testo non crittografato degli utenti, che consentono agli attori di aumentare i privilegi all’interno di un dominio ed eseguire altre attività post-sfruttamento e di spostamento laterale.

In alcuni casi, gli attori utilizzano anche il malware TrickBot per svolgere attività successive di sfruttamento.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Nuovi attacchi all’Italia da NoName057(16) e una Infiltrazione nel sistema idrico ceco
Di Redazione RHC - 24/07/2025

“Combattere il cybercrime è come estirpare le erbacce: se non elimini le radici a fondo, queste ricresceranno” e oggi, più che mai, questa verità si conferma ess...

XSS.IS messo a tacere! Dentro l’inchiesta che ha spento uno dei bazar più temuti del cyber‑crime
Di Luca Stivali - 24/07/2025

Immagina di aprire, come ogni sera, il bookmark del tuo forum preferito per scovare nuove varianti di stealer o l’ennesimo pacchetto di credenziali fresche di breach. Invece della solita bachec...

Firefox 141: rilasciato un aggiornamento critico di Sicurezza
Di Redazione RHC - 24/07/2025

Il 22 luglio 2025, Mozilla ha rilasciato Firefox 141, un aggiornamento volto a migliorare la sicurezza del browser. Nell’ambito del Bollettino MFSA 2025-56, sono state risolte 18 vulnerabilit&#...

ToolShell: La Vulnerabilità zero-day in Microsoft SharePoint è sotto attacco da inizio di luglio
Di Redazione RHC - 24/07/2025

Secondo gli esperti di sicurezza informatica, diversi gruppi di hacker cinesi stanno sfruttando una serie di vulnerabilità zero-day in Microsoft SharePoint nei loro attacchi. In particolare, ...

Microsoft SharePoint nel mirino. Violata l’agenzia nucleare USA
Di Redazione RHC - 24/07/2025

Un attacco informatico di vasta portata ha violato la National Nuclear Security Administration (NNSA) degli Stati Uniti attraverso il software per documenti Sharepoint di Microsoft, ha confermato...

Iscriviti alla nostra newsletter

Iscriviti alla newsletter settimanale di Red Hot Cyber per restare sempre aggiornato sulle ultime novità in cybersecurity e tecnologia digitale.

 
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS
Contatti

Copyright @ REDHOTCYBER Srl
PIVA 17898011006