Redazione RHC : 8 Maggio 2024 14:11
In Russia, c’era una regola non scritta riguardo al crimine informatico che rifletteva una pratica comune: si poteva agire al di fuori dei confini della Federazione Russa, ma non all’interno. Questo significava che i criminali informatici russi potevano operare liberamente all’estero, spesso senza temere conseguenze legali, mentre erano soggetti a misure punitive se avessero preso di mira obiettivi all’interno del paese.
Quello che sta facendo la Cyber Gang MorLock è qualcosa che ha generato scandalo perché sta utilizzando per cifrare le aziende russe, il celebre ransomware LockBit 3 (Black).
Gli specialisti di FACCT hanno pubblicato un rapporto dedicato al nuovo gruppo di hacking MorLock . Questa cyber gang ransomware attacca le aziende russe almeno dall’inizio del 2024 e l’intensità dei loro attacchi è aumentata notevolmente negli ultimi mesi.
 Sponsorizza la prossima Red Hot Cyber Conference! Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Gli esperti hanno riscontrato per la prima volta i risultati delle attività di MorLock all’inizio del 2024 e, secondo loro, da allora almeno nove aziende russe (per lo più rappresentanti di medie e grandi imprese) sono diventate vittime di MorLock.
Il gruppo è specializzato nella crittografia dei dati nell’infrastruttura IT della vittima utilizzando malware come LockBit 3 (Black) e Babuk. Per ripristinare l’accesso, gli aggressori richiedono un riscatto, il cui importo può ammontare a decine o addirittura centinaia di milioni di rubli (Milioni di euro). Tuttavia, durante le trattative l’importo può essere ridotto di quasi la metà.
Poiché il gruppo non ruba dati, i suoi attacchi durano solo pochi giorni dal momento in cui ottengono l’accesso fino all’inizio del processo di crittografia dei dati.
Gli aggressori preferiscono utilizzare Sliver come framework post-sfruttamento, SoftPerfect Network Scanner e PingCastle per la ricognizione della rete e gli hacker hanno ottenuto alcune informazioni utilizzando i comandi PowerShell.
Come vettore di attacco iniziale, gli aggressori utilizzano le vulnerabilità nelle applicazioni pubbliche (ad esempio Zimbra), nonché l’accesso acquisito su mercati chiusi come il mercato russo. I ricercatori affermano che negli ultimi attacchi gli hacker hanno approfittato delle credenziali compromesse dei partner delle aziende colpite.
In ogni caso, se la vittima aveva installato un antivirus aziendale russo, gli aggressori, dopo aver ottenuto l’accesso al suo pannello amministrativo, hanno disabilitato la protezione e hanno utilizzato questo prodotto di sicurezza per distribuire il ransomware nella rete della vittima. Hanno utilizzato PsExec anche per distribuire ransomware e altri strumenti online.
A differenza del gruppo Shadow, MorLock fin dall’inizio della sua attività ha deciso di non utilizzare un “marchio” e preferisce rimanere nell’ombra: nella richiesta di riscatto gli hacker indicano come contatti solo l’ID nel Messenger di sessione.
I ricercatori notano che uno dei primi attacchi di MorLock alla fine di gennaio ha provocato un grave scandalo sul forum di hacker in lingua russa XSS.
Il fatto è che l’attacco era stato sferrato utilizzando il ransomware LockBit 3 (Black), Questo ha violato la regola non detta: “non crittografare le aziende Russe”. Come risultato della discussione, gli amministratori del forum hanno bloccato gli account di un certo numero di utenti associati agli attacchi alla Russia. Secondo FACCT alcuni di loro erano direttamente associati al gruppo MorLock.
LockBitSupp, l’amministratore di LockBit RaaS, LockBitSupp , rispose prontamente a questo incidente, sottolineando che “LockBit si astiene dal crittografare le società con sede nella Comunità degli Stati Indipendenti (CSI)”. Riconoscendo la gravità della situazione, LockBitSupp ha persino offerto un gesto di aiuto contattando l’organizzazione russa colpita per offrire il proprio sostegno.
RedazioneNel mese di Settembre è uscita una nuova vulnerabilità che riguarda Notepad++. La vulnerabilità è stata identificata con la CVE-2025-56383 i dettagli possono essere consultati nel sito del NIST. L...
Gli aggressori stanno utilizzando una tecnica avanzata che implica il caricamento laterale di DLL tramite l’applicazione Microsoft OneDrive. In questo modo riescono ad eseguire codice malevolo senza...
I ladri sono entrati attraverso una finestra del secondo piano del Musée du Louvre, ma il museo aveva avuto anche altri problemi oltre alle finestre non protette, secondo un rapporto di audit sulla s...
Reuters ha riferito che Trump ha detto ai giornalisti durante un’intervista preregistrata nel programma “60 Minutes” della CBS e sull’Air Force One durante il viaggio di ritorno: “I chip pi�...
Il primo computer quantistico atomico cinese ha raggiunto un importante traguardo commerciale, registrando le sue prime vendite a clienti nazionali e internazionali, secondo quanto riportato dai media...
