Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Il ransomware ora si maschera da AUDIT di Sicurezza. I WereWolves sbarcano nel circus RaaS e colpiscono le aziende Russe

Chiara Nardini : 21 Dicembre 2023 16:33

La loro missione è “rafforzare l’immunità informatica delle aziende di tutto il mondo, e questo vale sicuramente la pena”. Si chiamano WereWolves e il loro sito web (accessibile direttamente nel clearweb) sembra un sito di una azienda a tutti gli effetti, ma nei post ci sono le loro violazioni delle aziende.

Si tratta di quello che viene chiamato Data Leak Site (DLS), dove le cyber-gang criminali pubblicano le loro malefatte, sulla base della logica della doppia estorsione. Il sito quindi consente loro di rivendicare un attacco, pubblicare i samples e pubblicare i dati in caso di mancato pagamento del riscatto.

Alla scoperta dei WereWoles

I WereWoles sono un nuovo gruppo ransomware che entrato nel circus del RaaS in autunno 2023. Ha già mietuto molte vittime. Di queste molte in Russia, altre distribuite tra Stati Uniti, Francia, Paesi Bassi, Germania, Serbia e Macedonia. 

Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)

Il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi (o persone di qualsiasi età) alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:

  • Creare Un Sistema Ai Di Visual Object Tracking (Hands on)
  • Social Engineering 2.0: Alla Scoperta Delle Minacce DeepFake
  • Doxing Con Langflow: Stiamo Costruendo La Fine Della Privacy?
  • Come Hackerare Un Sito WordPress (Hands on)
  • Il Cyberbullismo Tra Virtuale E Reale
  • Come Entrare Nel Dark Web In Sicurezza (Hands on)
    •
    Potete iscrivervi gratuitamente all'evento, che è stato creato per poter ispirare i ragazzi verso la sicurezza informatica e la tecnologia.
    Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


    Supporta RHC attraverso:


    Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

    Tra le nuove bande di ransomware che abbiamo visto nel 2023, i WereWolves è uno dei più importanti con un sito Web completo che offre chiamate di reclutamento per gli affiliati che vogliono unirsi al mondo del dark web


    Scopri il ransomware con gli articoli di RHC
    Il ransomware sta sempre più diventando un minaccia per aziende pubbliche e private, dove in Italia sta dilagando mietendo vittime giorno dopo giorno. Il ransomware è un tipo di malware che cifra l’infrastruttura IT di una organizzazione rendendola inutilizzabile chiedendo un riscatto per poterla sbloccare minacciando la pubblicazione dei dati. Scopriamo con precisione che cosa è il ransomware con gli articoli di Red Hot Cyber

    WereWoles si distingue per il suo approccio individuale alla situazione finanziaria delle aziende. Consapevoli delle fluttuazioni economiche, offrono una prospettiva unica, consentendo discussioni e, in casi eccezionali, anche il supporto gratuito per affrontare sfide finanziarie difficili.

    Le informazioni (comprese le informazioni critiche) dopo il caricamento sul DLS da parte degli Affiliati vengono ordinate e analizzate criticamente per determinare il valore dei dati. L’analisi prevede una valutazione giuridico-penale, una valutazione commerciale ed una valutazione in termini di informazioni privilegiate per i concorrenti. In base alla giurisdizione pertinente e alla geolocalizzazione dell’azienda.

    La Home Page del data leak site di WereWoles, dove si vede una organizzazione professionale dei link

    Nel caso in cui l’azienda colpita non acconsentirà al pagamento del riscatto, come da policy riportata sul sito la cyber gang riporta che:

    • I dati saranno resi pubblici e accessibili a tutti.
    • Alcuni dati verranno ceduti o venduti a terzi.
    • Alcuni dati verranno utilizzati per comunicazioni ad enti pubblici.
    • Verrà effettuata una distribuzione nelle banche dati del settore di attività della società con collegamenti alle informazioni pubblicate.
    • I partner saranno coinvolti per un possibile riattacco alle risorse dell’azienda, sulla base dei dati ricevuti.

    L’approccio della gang è da “AUDIT di sicurezza”, dove riportano che “noi non chiediamo somme favolose per ripristinare l’accesso”. Ma ovviamente poi parte l’avvertimento che dice “Se provi a ingannare il team di supporto, tutti i contatti verranno immediatamente interrotti. “

    La sezione “About” del Data Leak Sites

    Di seguito riportiamo per intero la sezione “About” tratta dal dat leak site di WereWoles.

    I) Dato che la situazione finanziaria dell'azienda può variare notevolmente in diversi periodi di tempo e talvolta lascia anche molto a desiderare, abbiamo previsto un approccio individuale per ogni incidente. Se a causa di una serie di fattori non puoi pagare o l'importo in discussione è estremamente difficile per te, ne discuteremo individualmente e in casi eccezionali riceverai il software per lavorare gratuitamente. A differenza di altre aziende, noi non chiediamo somme favolose per ripristinare l’accesso. Allo stesso tempo: disponiamo sicuramente di strumenti per un'analisi completa della solvibilità della vostra organizzazione, sia da fonti pubbliche che da fonti confidenziali filo-governative. Se provi a ingannare il team di supporto, tutti i contatti verranno immediatamente interrotti. 

II) Qualsiasi manipolazione con un tentativo di ripristinare le informazioni porterà al fallimento per i seguenti motivi: a) Ogni attacco è individuale e per questo viene preparato un software separato, che supera una serie di controlli preliminari per la possibilità di decrittazione o inversione. b) Il codice sorgente viene regolarmente e significativamente rielaborato e pulito. c) Di tanto in tanto viene utilizzato software completamente diverso, scritto da sé, che non è di pubblico dominio. È ingenuo credere che invertendo uno qualsiasi dei prodotti si influenzerà in qualche modo le nostre attività. Pertanto, vogliamo metterti in guardia contro le manipolazioni indipendenti del file system, potresti danneggiare i dati e non saremo in grado di aiutarti. Anche se lo volessimo. 

III) Le informazioni (comprese le informazioni critiche) dopo il caricamento vengono ordinate e analizzate criticamente per il valore dei dati. L'analisi prevede una valutazione giuridico-penale, una valutazione commerciale ed una valutazione in termini di informazioni privilegiate per i concorrenti. In base alla giurisdizione pertinente e alla geolocalizzazione dell'azienda. Tenuto conto di quanto sopra: Se per qualche motivo non vi è consenso sul pagamento, provvederemo a smaltirlo a seconda della tipologia, come segue:

a) I dati saranno resi pubblici e accessibili a tutti.
b) Alcuni dati verranno ceduti o venduti a terzi.
c) Alcuni dati verranno utilizzati per comunicazioni ad enti pubblici.
d) Verrà effettuata una distribuzione nelle banche dati del settore di attività della società con collegamenti alle informazioni pubblicate.
e) I partner saranno coinvolti per un possibile riattacco alle risorse dell'azienda, sulla base dei dati ricevuti. 

IV) Se viene raggiunto un accordo, riceverai:
a) Recupero totale e incondizionato di tutte le informazioni.
b) Cancellazione permanente di tutti i dati compromessi.
d) Raccomandazioni pratiche per proteggere l'infrastruttura e il perimetro della rete da attacchi successivi di qualsiasi livello di complessità (ad eccezione degli attacchi di alcuni gruppi filogovernativi che utilizzano vulnerabilità zero-day, cosa nella maggior parte dei casi improbabile per la sfera commerciale). 

V) La nostra rispettata organizzazione opera in tutto il mondo, ad eccezione dei paesi direttamente colpiti da guerre e disastri naturali. Attacchiamo tutte le organizzazioni dello spettro commerciale. Le infrastrutture critiche (come ospedali, ospedali, altre istituzioni mediche e sociali, orfanotrofi) non vengono attaccate in nessun caso. , rifugi, protezione animali). Qualsiasi struttura e organizzazione che si consenta tali attacchi e buffonate costituisce un legittimo obiettivo di distruzione per noi e i nostri partner. 

VI) Il 5% di ciascun ricavato (indipendentemente dalla sua dimensione) va in beneficenza. Questa è una legge che viene rigorosamente osservata da tutti i membri della comunità. Tutte le trattenute subiscono la necessaria verifica in termini di sicurezza informativa e economica. Questo ci dà fiducia nella corretta accettazione dei fondi ai destinatari appropriati. Sui siti web del gruppo verranno pubblicati alcuni resoconti delle azioni di beneficenza. 

VII) La nostra organizzazione non è legata alla politica e non appartiene ad alcuna giurisdizione e sistema politico. Non ci interessano certe dichiarazioni, azioni e decreti dei leader politici, le loro posizioni e altri buffoni. La nostra organizzazione non è coinvolta e non sarà coinvolta negli attacchi di attuazione congiuntamente a gruppi filogovernativi di qualsiasi livello e scala. 

VIII) A differenza di molte organizzazioni, non siamo integrati verticalmente, tuttavia, qualsiasi membro dell'organizzazione osserva rigorosamente una serie di regole quando si unisce all'organizzazione e partecipa ai suoi processi.
    La sezione “Mission” del Data Leak Site

    Chiara Nardini
    Esperta di Cyber Threat intelligence e di cybersecurity awareness, blogger per passione e ricercatrice di sicurezza informatica. Crede che si possa combattere il cybercrime solo conoscendo le minacce informatiche attraverso una costante attività di "lesson learned" e di divulgazione. Analista di punta per quello che concerne gli incidenti di sicurezza informatica del comparto Italia.

    Lista degli articoli

    Articoli in evidenza

    Buon World Password Day! Tra MIT, Hacker, Infostealer e MFA. Perchè sono così vulnerabili

    Domani celebreremo uno degli elementi più iconici – e al tempo stesso vulnerabili – della nostra vita digitale: la password. Da semplice chiave d’accesso inventata negli anni...

    Benvenuti su Mist Market: dove con un click compri droga, identità e banconote false

    Ci sono luoghi nel web dove la normalità cede il passo all’illecito, dove l’apparenza di un marketplace moderno e funzionale si trasforma in una vetrina globale per ogni tipo di rea...

    La Cina Accusa la NSA di aver usato Backdoor Native su Windows per hackerare i Giochi Asiatici

    Le backdoor come sappiamo sono ovunque e qualora presenti possono essere utilizzate sia da chi le ha richieste ma anche a vantaggio di chi le ha scoperte e questo potrebbe essere un caso emblematico s...

    WindTre comunica un DataBreach che ha coinvolto i sistemi dei rivenditori

    Il 25 febbraio 2025 WindTre ha rilevato un accesso non autorizzato ai sistemi informatici utilizzati dai propri rivenditori. L’intrusione, riconosciuta come un’azione malevola, è st...

    Non sono ancora chiari i motivi del grande blackout in Spagna e Portogallo

    Ancora non sono chiari i motivi che hanno causato un grave Blackout in Spagna e Portogallo nelle ultime ore. Vaste aree sono rimaste senza energia elettrica, scatenando un’ondata di speculazion...

    Categorie
    Segui i corsi di ethical hacking di CyberSecurityUP
    Banner
    Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

    PRINCIPALI CATEGORIE
    Attacchi Informatici Italiani
    Dark Web & Cybercrime
    0day, bug e Vulnerabilità
    Hacking
    Cybersecurity Italia
    Cyberpolitica & Intelligence

    RISORSE
    Academy
    Rubriche
    Il manifesto di Red Hot Cyber
    Feed RSS
    Contatti

    Copyright @ REDHOTCYBER Srl
    PIVA 17898011006