La loro missione è “rafforzare l’immunità informatica delle aziende di tutto il mondo, e questo vale sicuramente la pena”. Si chiamano WereWolves e il loro sito web (accessibile direttamente nel clearweb) sembra un sito di una azienda a tutti gli effetti, ma nei post ci sono le loro violazioni delle aziende.
Si tratta di quello che viene chiamato Data Leak Site (DLS), dove le cyber-gang criminali pubblicano le loro malefatte, sulla base della logica della doppia estorsione. Il sito quindi consente loro di rivendicare un attacco, pubblicare i samples e pubblicare i dati in caso di mancato pagamento del riscatto.
Alla scoperta dei WereWoles
I WereWoles sono un nuovo gruppo ransomware che entrato nel circus del RaaS in autunno 2023. Ha già mietuto molte vittime. Di queste molte in Russia, altre distribuite tra Stati Uniti, Francia, Paesi Bassi, Germania, Serbia e Macedonia.
Avvio delle iscrizioni al corso Cyber Offensive Fundamentals
Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica?
La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima.
Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected].
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.
Tra le nuove bande di ransomware che abbiamo visto nel 2023, i WereWolves è uno dei più importanti con un sito Web completo che offre chiamate di reclutamento per gli affiliati che vogliono unirsi al mondo del dark web.
Scopri il ransomware con gli articoli di RHC
Il ransomware sta sempre più diventando un minaccia per aziende pubbliche e private, dove in Italia sta dilagando mietendo vittime giorno dopo giorno. Il ransomware è un tipo di malware che cifra l’infrastruttura IT di una organizzazione rendendola inutilizzabile chiedendo un riscatto per poterla sbloccare minacciando la pubblicazione dei dati. Scopriamo con precisione che cosa è il ransomware con gli articoli di Red Hot Cyber
WereWoles si distingue per il suo approccio individuale alla situazione finanziaria delle aziende. Consapevoli delle fluttuazioni economiche, offrono una prospettiva unica, consentendo discussioni e, in casi eccezionali, anche il supporto gratuito per affrontare sfide finanziarie difficili.
Le informazioni (comprese le informazioni critiche) dopo il caricamento sul DLS da parte degli Affiliati vengono ordinate e analizzate criticamente per determinare il valore dei dati. L’analisi prevede una valutazione giuridico-penale, una valutazione commerciale ed una valutazione in termini di informazioni privilegiate per i concorrenti. In base alla giurisdizione pertinente e alla geolocalizzazione dell’azienda.
La Home Page del data leak site di WereWoles, dove si vede una organizzazione professionale dei link
Nel caso in cui l’azienda colpita non acconsentirà al pagamento del riscatto, come da policy riportata sul sito la cyber gang riporta che:
I dati saranno resi pubblici e accessibili a tutti.
Alcuni dati verranno ceduti o venduti a terzi.
Alcuni dati verranno utilizzati per comunicazioni ad enti pubblici.
Verrà effettuata una distribuzione nelle banche dati del settore di attività della società con collegamenti alle informazioni pubblicate.
I partner saranno coinvolti per un possibile riattacco alle risorse dell’azienda, sulla base dei dati ricevuti.
L’approccio della gang è da “AUDIT di sicurezza”, dove riportano che “noi non chiediamo somme favolose per ripristinare l’accesso”. Ma ovviamente poi parte l’avvertimento che dice “Se provi a ingannare il team di supporto, tutti i contatti verranno immediatamente interrotti. “
La sezione “About” del Data Leak Sites
Di seguito riportiamo per intero la sezione “About” tratta dal dat leak site di WereWoles.
I) Dato che la situazione finanziaria dell'azienda può variare notevolmente in diversi periodi di tempo e talvolta lascia anche molto a desiderare, abbiamo previsto un approccio individuale per ogni incidente. Se a causa di una serie di fattori non puoi pagare o l'importo in discussione è estremamente difficile per te, ne discuteremo individualmente e in casi eccezionali riceverai il software per lavorare gratuitamente. A differenza di altre aziende, noi non chiediamo somme favolose per ripristinare l’accesso. Allo stesso tempo: disponiamo sicuramente di strumenti per un'analisi completa della solvibilità della vostra organizzazione, sia da fonti pubbliche che da fonti confidenziali filo-governative. Se provi a ingannare il team di supporto, tutti i contatti verranno immediatamente interrotti.
II) Qualsiasi manipolazione con un tentativo di ripristinare le informazioni porterà al fallimento per i seguenti motivi: a) Ogni attacco è individuale e per questo viene preparato un software separato, che supera una serie di controlli preliminari per la possibilità di decrittazione o inversione. b) Il codice sorgente viene regolarmente e significativamente rielaborato e pulito. c) Di tanto in tanto viene utilizzato software completamente diverso, scritto da sé, che non è di pubblico dominio. È ingenuo credere che invertendo uno qualsiasi dei prodotti si influenzerà in qualche modo le nostre attività. Pertanto, vogliamo metterti in guardia contro le manipolazioni indipendenti del file system, potresti danneggiare i dati e non saremo in grado di aiutarti. Anche se lo volessimo.
III) Le informazioni (comprese le informazioni critiche) dopo il caricamento vengono ordinate e analizzate criticamente per il valore dei dati. L'analisi prevede una valutazione giuridico-penale, una valutazione commerciale ed una valutazione in termini di informazioni privilegiate per i concorrenti. In base alla giurisdizione pertinente e alla geolocalizzazione dell'azienda. Tenuto conto di quanto sopra: Se per qualche motivo non vi è consenso sul pagamento, provvederemo a smaltirlo a seconda della tipologia, come segue:
a) I dati saranno resi pubblici e accessibili a tutti.
b) Alcuni dati verranno ceduti o venduti a terzi.
c) Alcuni dati verranno utilizzati per comunicazioni ad enti pubblici.
d) Verrà effettuata una distribuzione nelle banche dati del settore di attività della società con collegamenti alle informazioni pubblicate.
e) I partner saranno coinvolti per un possibile riattacco alle risorse dell'azienda, sulla base dei dati ricevuti.
IV) Se viene raggiunto un accordo, riceverai:
a) Recupero totale e incondizionato di tutte le informazioni.
b) Cancellazione permanente di tutti i dati compromessi.
d) Raccomandazioni pratiche per proteggere l'infrastruttura e il perimetro della rete da attacchi successivi di qualsiasi livello di complessità (ad eccezione degli attacchi di alcuni gruppi filogovernativi che utilizzano vulnerabilità zero-day, cosa nella maggior parte dei casi improbabile per la sfera commerciale).
V) La nostra rispettata organizzazione opera in tutto il mondo, ad eccezione dei paesi direttamente colpiti da guerre e disastri naturali. Attacchiamo tutte le organizzazioni dello spettro commerciale. Le infrastrutture critiche (come ospedali, ospedali, altre istituzioni mediche e sociali, orfanotrofi) non vengono attaccate in nessun caso. , rifugi, protezione animali). Qualsiasi struttura e organizzazione che si consenta tali attacchi e buffonate costituisce un legittimo obiettivo di distruzione per noi e i nostri partner.
VI) Il 5% di ciascun ricavato (indipendentemente dalla sua dimensione) va in beneficenza. Questa è una legge che viene rigorosamente osservata da tutti i membri della comunità. Tutte le trattenute subiscono la necessaria verifica in termini di sicurezza informativa e economica. Questo ci dà fiducia nella corretta accettazione dei fondi ai destinatari appropriati. Sui siti web del gruppo verranno pubblicati alcuni resoconti delle azioni di beneficenza.
VII) La nostra organizzazione non è legata alla politica e non appartiene ad alcuna giurisdizione e sistema politico. Non ci interessano certe dichiarazioni, azioni e decreti dei leader politici, le loro posizioni e altri buffoni. La nostra organizzazione non è coinvolta e non sarà coinvolta negli attacchi di attuazione congiuntamente a gruppi filogovernativi di qualsiasi livello e scala.
VIII) A differenza di molte organizzazioni, non siamo integrati verticalmente, tuttavia, qualsiasi membro dell'organizzazione osserva rigorosamente una serie di regole quando si unisce all'organizzazione e partecipa ai suoi processi.
La sezione “Mission” del Data Leak Site
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Esperta di Cyber Threat intelligence e di cybersecurity awareness, blogger per passione e ricercatrice di sicurezza informatica. Crede che si possa combattere il cybercrime solo conoscendo le minacce informatiche attraverso una costante attività di "lesson learned" e di divulgazione. Analista di punta per quello che concerne gli incidenti di sicurezza informatica del comparto Italia.
Aree di competenza:Cyber threat Intelligence, Incident Response, sicurezza nazionale, divulgazione
La storia di Ilya Lichtenstein, l’hacker responsabile di uno degli attacchi informatici più grandi mai compiuti contro le criptovalute, appare come un episodio di una serie TV, eppure è assolutamente reale. Dopo essere stato rilasciato,…
Se c’erano ancora dubbi sul fatto che le principali aziende mondiali di intelligenza artificiale fossero d’accordo sulla direzione dell’IA, o sulla velocità con cui dovrebbe arrivarci, questi dubbi sono stati dissipati al World Economic Forum…
Una settimana fa, il CEO di Cursor, Michael Truell, ha annunciato un risultato presumibilmente straordinario. Ha affermato che, utilizzando GPT-5.2, Cursor ha creato un browser in grado di funzionare ininterrottamente per un’intera settimana. Questo browser…
L’Italia si conferma uno degli obiettivi principali della campagna di attacchi DDoS portata avanti dal gruppo hacktivista NoName057(16). Secondo quanto dichiarato direttamente dal collettivo, il nostro Paese ha subito 487 attacchi informatici tra ottobre 2024…
La domanda ritorna ciclicamente da oltre dieci anni: uno smartphone può davvero sostituire un computer? Nel tempo, l’industria ha provato più volte a dare una risposta concreta, senza mai arrivare a una soluzione definitiva. Dai…
