NoName: come creare un’alleanza tra hacker Criminali lavorando all’ombra di LockBit

Redazione RHC : 11 Settembre 2024 10:41

Da oltre tre anni il gruppo ransomware NoName cerca di costruirsi una reputazione prendendo di mira le piccole e medie imprese di tutto il mondo con il suo ransomware. Gli specialisti di ESET hanno suggerito che NoName sta ora lavorando con RansomHub come partner.

Gli hacker utilizzano strumenti personalizzati che fanno parte della famiglia di malware Spacecolon. Per penetrare nella rete, i criminali informatici utilizzano attacchi di forza bruta e sfruttano anche vecchie vulnerabilità. Recentemente, NoName ha aggiunto un nuovo ransomware al suo arsenale: ScRansom, che ha sostituito Scarab.

I ricercatori seguono le attività del gruppo dal 2023, dandogli il nome in codice CosmicBeetle. ESET sottolinea che, nonostante la minore complessità di ScRansom rispetto ad altre minacce conosciute, questo ransomware continua ad evolversi e rappresenta una minaccia.

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

ScRansom supporta la crittografia parziale con diverse modalità di velocità, offrendo flessibilità agli aggressori. Il programma sostituisce inoltre il contenuto dei file con un valore permanente, rendendone impossibile il recupero. Il crittografo è in grado di funzionare con tutti i tipi di media: locali, remoti e rimovibili. Prima dell’avvio della crittografia, ScRansom disabilita i processi e i servizi chiave di Windows, tra cui Windows Defender, le copie shadow e i processi relativi alla virtualizzazione.

La crittografia ScRansom utilizza uno schema complesso, che combina gli algoritmi AES-CTR-128 e RSA-1024. Tuttavia, il processo di crittografia in più fasi a volte porta a errori che possono impedire la decrittografia anche se sono disponibili le chiavi corrette. In un caso, la vittima ha ricevuto 31 chiavi di decrittazione, ma non è stata in grado di recuperare tutti i file.

ScRansom continua ad evolversi. Il virus stesso è scritto in Delphi, come altri strumenti CosmicBeetle. È interessante notare che la crittografia richiede l’intervento umano per essere attivata, rendendo difficile il rilevamento nei sandbox automatizzati. Le ultime versioni del virus sono automatizzate e richiedono un intervento minimo. ScRansom attacca i file su tutte le unità e utilizza diverse modalità di crittografia, una delle quali distrugge completamente i dati, rendendone impossibile il ripristino.

Oltre agli attacchi di forza bruta, NoName sfrutta attivamente le vulnerabilità che si trovano più spesso nell’infrastruttura delle piccole e medie imprese. Tra questi ci sono le vulnerabilità CVE-2017-0144 (EternalBlue), CVE-2020-1472 (ZeroLogon), FortiOS SSL-VPN (CVE-2022-42475), nonché vulnerabilità in Veeam e Active Directory. Gli attacchi NoName sfruttano anche la vulnerabilità CVE-2017-0290 attraverso uno script speciale che disabilita le funzionalità di sicurezza di Windows.

I tentativi del gruppo di farsi conoscere non si limitano all’introduzione di nuovi ransomware. I ricercatori hanno notato che CosmicBeetle ha iniziato a utilizzare il codice sorgente del virus LockBit trapelato online per imitare un noto gruppo criminale sia nelle richieste di riscatto che del Data leak Site (DLS). Ciò aiuta a convincere le vittime a pagare il riscatto, pensando di avere a che fare con aggressori più esperti.

Nel settembre 2023, CosmicBeetle ha creato un sito che era una copia del sito LockBit, dove pubblicava i dati delle vittime colpite non solo da NoName, ma anche da LockBit stesso. A novembre gli aggressori sono andati oltre registrando il dominio lockbitblog[.]info e utilizzando il marchio LockBit per ulteriori attacchi.

Data leak Site di NoName

L’utilizzo di strumenti di crittografia trapelati, come LockBit, è una pratica comune per i gruppi di ransomware inesperti. Ciò li aiuta non solo a trarre vantaggio da un marchio riconoscibile, ma anche a ottenere un campione di ransomware funzionante in modo affidabile. In un incidente iniziato con un tentativo fallito di implementare ScRansom, gli hacker hanno utilizzato gli strumenti RansomHub pochi giorni dopo, consentendo ai ricercatori di suggerire una possibile partnership tra NoName e questo gruppo.

Sebbene non vi siano prove definitive di collaborazione, lo sviluppo attivo di ScRansom e il passaggio all’utilizzo degli strumenti LockBit indicano che NoName non ha intenzione di interrompere le proprie attività.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli