Redazione RHC : 11 Settembre 2024 10:41
Da oltre tre anni il gruppo ransomware NoName cerca di costruirsi una reputazione prendendo di mira le piccole e medie imprese di tutto il mondo con il suo ransomware. Gli specialisti di ESET hanno suggerito che NoName sta ora lavorando con RansomHub come partner.
Gli hacker utilizzano strumenti personalizzati che fanno parte della famiglia di malware Spacecolon. Per penetrare nella rete, i criminali informatici utilizzano attacchi di forza bruta e sfruttano anche vecchie vulnerabilità. Recentemente, NoName ha aggiunto un nuovo ransomware al suo arsenale: ScRansom, che ha sostituito Scarab.
I ricercatori seguono le attività del gruppo dal 2023, dandogli il nome in codice CosmicBeetle. ESET sottolinea che, nonostante la minore complessità di ScRansom rispetto ad altre minacce conosciute, questo ransomware continua ad evolversi e rappresenta una minaccia.
Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber
«Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime. Non possiamo più permetterci di chiudere gli occhi».
Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca.
Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare.
Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura.
Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
ScRansom supporta la crittografia parziale con diverse modalità di velocità, offrendo flessibilità agli aggressori. Il programma sostituisce inoltre il contenuto dei file con un valore permanente, rendendone impossibile il recupero. Il crittografo è in grado di funzionare con tutti i tipi di media: locali, remoti e rimovibili. Prima dell’avvio della crittografia, ScRansom disabilita i processi e i servizi chiave di Windows, tra cui Windows Defender, le copie shadow e i processi relativi alla virtualizzazione.
La crittografia ScRansom utilizza uno schema complesso, che combina gli algoritmi AES-CTR-128 e RSA-1024. Tuttavia, il processo di crittografia in più fasi a volte porta a errori che possono impedire la decrittografia anche se sono disponibili le chiavi corrette. In un caso, la vittima ha ricevuto 31 chiavi di decrittazione, ma non è stata in grado di recuperare tutti i file.
ScRansom continua ad evolversi. Il virus stesso è scritto in Delphi, come altri strumenti CosmicBeetle. È interessante notare che la crittografia richiede l’intervento umano per essere attivata, rendendo difficile il rilevamento nei sandbox automatizzati. Le ultime versioni del virus sono automatizzate e richiedono un intervento minimo. ScRansom attacca i file su tutte le unità e utilizza diverse modalità di crittografia, una delle quali distrugge completamente i dati, rendendone impossibile il ripristino.
Oltre agli attacchi di forza bruta, NoName sfrutta attivamente le vulnerabilità che si trovano più spesso nell’infrastruttura delle piccole e medie imprese. Tra questi ci sono le vulnerabilità CVE-2017-0144 (EternalBlue), CVE-2020-1472 (ZeroLogon), FortiOS SSL-VPN (CVE-2022-42475), nonché vulnerabilità in Veeam e Active Directory. Gli attacchi NoName sfruttano anche la vulnerabilità CVE-2017-0290 attraverso uno script speciale che disabilita le funzionalità di sicurezza di Windows.
I tentativi del gruppo di farsi conoscere non si limitano all’introduzione di nuovi ransomware. I ricercatori hanno notato che CosmicBeetle ha iniziato a utilizzare il codice sorgente del virus LockBit trapelato online per imitare un noto gruppo criminale sia nelle richieste di riscatto che del Data leak Site (DLS). Ciò aiuta a convincere le vittime a pagare il riscatto, pensando di avere a che fare con aggressori più esperti.
Nel settembre 2023, CosmicBeetle ha creato un sito che era una copia del sito LockBit, dove pubblicava i dati delle vittime colpite non solo da NoName, ma anche da LockBit stesso. A novembre gli aggressori sono andati oltre registrando il dominio lockbitblog[.]info e utilizzando il marchio LockBit per ulteriori attacchi.
Data leak Site di NoName
L’utilizzo di strumenti di crittografia trapelati, come LockBit, è una pratica comune per i gruppi di ransomware inesperti. Ciò li aiuta non solo a trarre vantaggio da un marchio riconoscibile, ma anche a ottenere un campione di ransomware funzionante in modo affidabile. In un incidente iniziato con un tentativo fallito di implementare ScRansom, gli hacker hanno utilizzato gli strumenti RansomHub pochi giorni dopo, consentendo ai ricercatori di suggerire una possibile partnership tra NoName e questo gruppo.
Sebbene non vi siano prove definitive di collaborazione, lo sviluppo attivo di ScRansom e il passaggio all’utilizzo degli strumenti LockBit indicano che NoName non ha intenzione di interrompere le proprie attività.
RedazioneNella giornata di oggi, la nuova cyber-gang “The Gentlemen” rivendica all’interno del proprio Data Leak Site (DLS) il primo attacco ad una azienda italiana. Disclaimer: Questo rapporto include s...
SAP ha reso disponibili degli aggiornamenti per la sicurezza Martedì, con l’obiettivo di risolvere varie vulnerabilità. Tra queste vulnerabilità, ve ne sono tre particolarmente critiche che si ve...
Ci stiamo avviando a passi da gigante vero l’uroboro, ovvero il serpente che mangia la sua stessa coda. Ne avevamo parlato qualche settimana fa che il traffico umano su internet è in calo vertigino...
A fine agosto, GreyNoise ha registrato un forte aumento dell’attività di scansione mirata ai dispositivi Cisco ASA. Gli esperti avvertono che tali ondate spesso precedono la scoperta di nuove vulne...
Con una drammatica inversione di tendenza, il Nepal ha revocato il blackout nazionale sui social media imposto la scorsa settimana dopo che aveva scatenato massicce proteste giovanili e causato almeno...
