Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca
Red Hot Cyber Academy

Il ransomware ora si maschera da AUDIT di Sicurezza. I WereWolves sbarcano nel circus RaaS e colpiscono le aziende Russe

Chiara Nardini : 21 Dicembre 2023 16:33

La loro missione è “rafforzare l’immunità informatica delle aziende di tutto il mondo, e questo vale sicuramente la pena”. Si chiamano WereWolves e il loro sito web (accessibile direttamente nel clearweb) sembra un sito di una azienda a tutti gli effetti, ma nei post ci sono le loro violazioni delle aziende.

Si tratta di quello che viene chiamato Data Leak Site (DLS), dove le cyber-gang criminali pubblicano le loro malefatte, sulla base della logica della doppia estorsione. Il sito quindi consente loro di rivendicare un attacco, pubblicare i samples e pubblicare i dati in caso di mancato pagamento del riscatto.

Alla scoperta dei WereWoles

I WereWoles sono un nuovo gruppo ransomware che entrato nel circus del RaaS in autunno 2023. Ha già mietuto molte vittime. Di queste molte in Russia, altre distribuite tra Stati Uniti, Francia, Paesi Bassi, Germania, Serbia e Macedonia. 

CORSO NIS2 : Network and Information system 2
La direttiva NIS2 rappresenta una delle novità più importanti per la sicurezza informatica in Europa, imponendo nuovi obblighi alle aziende e alle infrastrutture critiche per migliorare la resilienza contro le cyber minacce. Con scadenze stringenti e penalità elevate per chi non si adegua, comprendere i requisiti della NIS2 è essenziale per garantire la compliance e proteggere la tua organizzazione.

Accedi All'Anteprima del Corso condotto dall'Avv. Andrea Capelli sulla nostra Academy e segui l'anteprima gratuita.
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765 

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Tra le nuove bande di ransomware che abbiamo visto nel 2023, i WereWolves è uno dei più importanti con un sito Web completo che offre chiamate di reclutamento per gli affiliati che vogliono unirsi al mondo del dark web


Scopri il ransomware con gli articoli di RHC
Il ransomware sta sempre più diventando un minaccia per aziende pubbliche e private, dove in Italia sta dilagando mietendo vittime giorno dopo giorno. Il ransomware è un tipo di malware che cifra l’infrastruttura IT di una organizzazione rendendola inutilizzabile chiedendo un riscatto per poterla sbloccare minacciando la pubblicazione dei dati. Scopriamo con precisione che cosa è il ransomware con gli articoli di Red Hot Cyber

WereWoles si distingue per il suo approccio individuale alla situazione finanziaria delle aziende. Consapevoli delle fluttuazioni economiche, offrono una prospettiva unica, consentendo discussioni e, in casi eccezionali, anche il supporto gratuito per affrontare sfide finanziarie difficili.

Le informazioni (comprese le informazioni critiche) dopo il caricamento sul DLS da parte degli Affiliati vengono ordinate e analizzate criticamente per determinare il valore dei dati. L’analisi prevede una valutazione giuridico-penale, una valutazione commerciale ed una valutazione in termini di informazioni privilegiate per i concorrenti. In base alla giurisdizione pertinente e alla geolocalizzazione dell’azienda.

La Home Page del data leak site di WereWoles, dove si vede una organizzazione professionale dei link

Nel caso in cui l’azienda colpita non acconsentirà al pagamento del riscatto, come da policy riportata sul sito la cyber gang riporta che:

  • I dati saranno resi pubblici e accessibili a tutti.
  • Alcuni dati verranno ceduti o venduti a terzi.
  • Alcuni dati verranno utilizzati per comunicazioni ad enti pubblici.
  • Verrà effettuata una distribuzione nelle banche dati del settore di attività della società con collegamenti alle informazioni pubblicate.
  • I partner saranno coinvolti per un possibile riattacco alle risorse dell’azienda, sulla base dei dati ricevuti.

L’approccio della gang è da “AUDIT di sicurezza”, dove riportano che “noi non chiediamo somme favolose per ripristinare l’accesso”. Ma ovviamente poi parte l’avvertimento che dice “Se provi a ingannare il team di supporto, tutti i contatti verranno immediatamente interrotti. “

La sezione “About” del Data Leak Sites

Di seguito riportiamo per intero la sezione “About” tratta dal dat leak site di WereWoles.

I) Dato che la situazione finanziaria dell'azienda può variare notevolmente in diversi periodi di tempo e talvolta lascia anche molto a desiderare, abbiamo previsto un approccio individuale per ogni incidente. Se a causa di una serie di fattori non puoi pagare o l'importo in discussione è estremamente difficile per te, ne discuteremo individualmente e in casi eccezionali riceverai il software per lavorare gratuitamente. A differenza di altre aziende, noi non chiediamo somme favolose per ripristinare l’accesso. Allo stesso tempo: disponiamo sicuramente di strumenti per un'analisi completa della solvibilità della vostra organizzazione, sia da fonti pubbliche che da fonti confidenziali filo-governative. Se provi a ingannare il team di supporto, tutti i contatti verranno immediatamente interrotti. 

II) Qualsiasi manipolazione con un tentativo di ripristinare le informazioni porterà al fallimento per i seguenti motivi: a) Ogni attacco è individuale e per questo viene preparato un software separato, che supera una serie di controlli preliminari per la possibilità di decrittazione o inversione. b) Il codice sorgente viene regolarmente e significativamente rielaborato e pulito. c) Di tanto in tanto viene utilizzato software completamente diverso, scritto da sé, che non è di pubblico dominio. È ingenuo credere che invertendo uno qualsiasi dei prodotti si influenzerà in qualche modo le nostre attività. Pertanto, vogliamo metterti in guardia contro le manipolazioni indipendenti del file system, potresti danneggiare i dati e non saremo in grado di aiutarti. Anche se lo volessimo. 

III) Le informazioni (comprese le informazioni critiche) dopo il caricamento vengono ordinate e analizzate criticamente per il valore dei dati. L'analisi prevede una valutazione giuridico-penale, una valutazione commerciale ed una valutazione in termini di informazioni privilegiate per i concorrenti. In base alla giurisdizione pertinente e alla geolocalizzazione dell'azienda. Tenuto conto di quanto sopra: Se per qualche motivo non vi è consenso sul pagamento, provvederemo a smaltirlo a seconda della tipologia, come segue:

a) I dati saranno resi pubblici e accessibili a tutti.
b) Alcuni dati verranno ceduti o venduti a terzi.
c) Alcuni dati verranno utilizzati per comunicazioni ad enti pubblici.
d) Verrà effettuata una distribuzione nelle banche dati del settore di attività della società con collegamenti alle informazioni pubblicate.
e) I partner saranno coinvolti per un possibile riattacco alle risorse dell'azienda, sulla base dei dati ricevuti. 

IV) Se viene raggiunto un accordo, riceverai:
a) Recupero totale e incondizionato di tutte le informazioni.
b) Cancellazione permanente di tutti i dati compromessi.
d) Raccomandazioni pratiche per proteggere l'infrastruttura e il perimetro della rete da attacchi successivi di qualsiasi livello di complessità (ad eccezione degli attacchi di alcuni gruppi filogovernativi che utilizzano vulnerabilità zero-day, cosa nella maggior parte dei casi improbabile per la sfera commerciale). 

V) La nostra rispettata organizzazione opera in tutto il mondo, ad eccezione dei paesi direttamente colpiti da guerre e disastri naturali. Attacchiamo tutte le organizzazioni dello spettro commerciale. Le infrastrutture critiche (come ospedali, ospedali, altre istituzioni mediche e sociali, orfanotrofi) non vengono attaccate in nessun caso. , rifugi, protezione animali). Qualsiasi struttura e organizzazione che si consenta tali attacchi e buffonate costituisce un legittimo obiettivo di distruzione per noi e i nostri partner. 

VI) Il 5% di ciascun ricavato (indipendentemente dalla sua dimensione) va in beneficenza. Questa è una legge che viene rigorosamente osservata da tutti i membri della comunità. Tutte le trattenute subiscono la necessaria verifica in termini di sicurezza informativa e economica. Questo ci dà fiducia nella corretta accettazione dei fondi ai destinatari appropriati. Sui siti web del gruppo verranno pubblicati alcuni resoconti delle azioni di beneficenza. 

VII) La nostra organizzazione non è legata alla politica e non appartiene ad alcuna giurisdizione e sistema politico. Non ci interessano certe dichiarazioni, azioni e decreti dei leader politici, le loro posizioni e altri buffoni. La nostra organizzazione non è coinvolta e non sarà coinvolta negli attacchi di attuazione congiuntamente a gruppi filogovernativi di qualsiasi livello e scala. 

VIII) A differenza di molte organizzazioni, non siamo integrati verticalmente, tuttavia, qualsiasi membro dell'organizzazione osserva rigorosamente una serie di regole quando si unisce all'organizzazione e partecipa ai suoi processi.
La sezione “Mission” del Data Leak Site

Chiara Nardini
Esperta di Cyber Threat intelligence e di cybersecurity awareness, blogger per passione e ricercatrice di sicurezza informatica. Crede che si possa combattere il cybercrime solo conoscendo le minacce informatiche attraverso una costante attività di "lesson learned" e di divulgazione. Analista di punta per quello che concerne gli incidenti di sicurezza informatica del comparto Italia.

Lista degli articoli

Articoli in evidenza

Skitnet: Il Malware che Sta Conquistando il Mondo del Ransomware

Gli esperti hanno lanciato l’allarme: i gruppi ransomware stanno utilizzando sempre più spesso il nuovo malware Skitnet (noto anche come Bossnet) per lo sfruttamento successivo delle ...

Bypass di Microsoft Defender mediante Defendnot: Analisi Tecnica e Strategie di Mitigazione

Nel panorama delle minacce odierne, Defendnot rappresenta un sofisticato malware in grado di disattivare Microsoft Defender sfruttando esclusivamente meccanismi legittimi di Windows. A differenza di a...

Falso Mito: Se uso una VPN, sono completamente al sicuro anche su reti WiFi Aperte e non sicure

Molti credono che l’utilizzo di una VPN garantisca una protezione totale durante la navigazione, anche su reti WiFi totalmente aperte e non sicure. Sebbene le VPN siano strumenti efficaci per c...

In Cina il CNVD premia i migliori ricercatori di sicurezza e la collaborazione tra istituzioni e aziende

Durante una conferenza nazionale dedicata alla sicurezza informatica, sono stati ufficialmente premiati enti, aziende e professionisti che nel 2024 hanno dato un contributo significativo al National I...

Quando l’MFA non basta! Abbiamo Violato il Login Multi-Fattore Per Capire Come Difenderci Meglio

Nel mondo della cybersecurity esiste una verità scomoda quanto inevitabile: per difendere davvero qualcosa, bisogna sapere come violarlo. L’autenticazione multi-fattore è una delle co...