Redazione RHC : 11 Settembre 2024 10:41
Da oltre tre anni il gruppo ransomware NoName cerca di costruirsi una reputazione prendendo di mira le piccole e medie imprese di tutto il mondo con il suo ransomware. Gli specialisti di ESET hanno suggerito che NoName sta ora lavorando con RansomHub come partner.
Gli hacker utilizzano strumenti personalizzati che fanno parte della famiglia di malware Spacecolon. Per penetrare nella rete, i criminali informatici utilizzano attacchi di forza bruta e sfruttano anche vecchie vulnerabilità. Recentemente, NoName ha aggiunto un nuovo ransomware al suo arsenale: ScRansom, che ha sostituito Scarab.
I ricercatori seguono le attività del gruppo dal 2023, dandogli il nome in codice CosmicBeetle. ESET sottolinea che, nonostante la minore complessità di ScRansom rispetto ad altre minacce conosciute, questo ransomware continua ad evolversi e rappresenta una minaccia.
CALL FOR SPONSOR - Sponsorizza l'ottavo episodio della serie Betti-RHC
Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"?
Conosci il nostro corso sul cybersecurity awareness a fumetti?
Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati.
Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
ScRansom supporta la crittografia parziale con diverse modalità di velocità, offrendo flessibilità agli aggressori. Il programma sostituisce inoltre il contenuto dei file con un valore permanente, rendendone impossibile il recupero. Il crittografo è in grado di funzionare con tutti i tipi di media: locali, remoti e rimovibili. Prima dell’avvio della crittografia, ScRansom disabilita i processi e i servizi chiave di Windows, tra cui Windows Defender, le copie shadow e i processi relativi alla virtualizzazione.
La crittografia ScRansom utilizza uno schema complesso, che combina gli algoritmi AES-CTR-128 e RSA-1024. Tuttavia, il processo di crittografia in più fasi a volte porta a errori che possono impedire la decrittografia anche se sono disponibili le chiavi corrette. In un caso, la vittima ha ricevuto 31 chiavi di decrittazione, ma non è stata in grado di recuperare tutti i file.
ScRansom continua ad evolversi. Il virus stesso è scritto in Delphi, come altri strumenti CosmicBeetle. È interessante notare che la crittografia richiede l’intervento umano per essere attivata, rendendo difficile il rilevamento nei sandbox automatizzati. Le ultime versioni del virus sono automatizzate e richiedono un intervento minimo. ScRansom attacca i file su tutte le unità e utilizza diverse modalità di crittografia, una delle quali distrugge completamente i dati, rendendone impossibile il ripristino.
Oltre agli attacchi di forza bruta, NoName sfrutta attivamente le vulnerabilità che si trovano più spesso nell’infrastruttura delle piccole e medie imprese. Tra questi ci sono le vulnerabilità CVE-2017-0144 (EternalBlue), CVE-2020-1472 (ZeroLogon), FortiOS SSL-VPN (CVE-2022-42475), nonché vulnerabilità in Veeam e Active Directory. Gli attacchi NoName sfruttano anche la vulnerabilità CVE-2017-0290 attraverso uno script speciale che disabilita le funzionalità di sicurezza di Windows.
I tentativi del gruppo di farsi conoscere non si limitano all’introduzione di nuovi ransomware. I ricercatori hanno notato che CosmicBeetle ha iniziato a utilizzare il codice sorgente del virus LockBit trapelato online per imitare un noto gruppo criminale sia nelle richieste di riscatto che del Data leak Site (DLS). Ciò aiuta a convincere le vittime a pagare il riscatto, pensando di avere a che fare con aggressori più esperti.
Nel settembre 2023, CosmicBeetle ha creato un sito che era una copia del sito LockBit, dove pubblicava i dati delle vittime colpite non solo da NoName, ma anche da LockBit stesso. A novembre gli aggressori sono andati oltre registrando il dominio lockbitblog[.]info e utilizzando il marchio LockBit per ulteriori attacchi.
Data leak Site di NoName
L’utilizzo di strumenti di crittografia trapelati, come LockBit, è una pratica comune per i gruppi di ransomware inesperti. Ciò li aiuta non solo a trarre vantaggio da un marchio riconoscibile, ma anche a ottenere un campione di ransomware funzionante in modo affidabile. In un incidente iniziato con un tentativo fallito di implementare ScRansom, gli hacker hanno utilizzato gli strumenti RansomHub pochi giorni dopo, consentendo ai ricercatori di suggerire una possibile partnership tra NoName e questo gruppo.
Sebbene non vi siano prove definitive di collaborazione, lo sviluppo attivo di ScRansom e il passaggio all’utilizzo degli strumenti LockBit indicano che NoName non ha intenzione di interrompere le proprie attività.
RedazioneA cura di Luca Stivali e Roland Kapidani. Nel giro di dieci giorni un nickname mai visto prima, mydocs, ha inondato un dark forum con una serie di thread tutti uguali: stesso template, stessa call-to-...
Un ricercatore esperto in sicurezza informatica ha scoperto che centinaia di server TeslaMate in tutto il mondo trasmettono apertamente i dati dei veicoli Tesla senza alcuna protezione. Ciò signi...
Il 23 luglio 2025, Tesla tenne la sua conference call sui risultati del secondo trimestre. Elon Musk , come di consueto, trasmise a Wall Street il suo contagioso ottimismo. Parlando di Dojo, il superc...
Microsoft rimuoverà PowerShell 2.0 da Windows a partire da agosto, anni dopo averne annunciato la dismissione e averlo mantenuto come funzionalità opzionale. Il processore dei comandi vecchi...
Sviluppare agenti di intelligenza artificiale in grado di individuare vulnerabilità in sistemi complessi è ancora un compito impegnativo che richiede molto lavoro manuale. Tuttavia, tali age...
