Stormous ransomware: la cyber gang che Sostiene la Russia Minaccia il Mondo Digitale

Il famigerato gruppo di ransomware Stormous ha recentemente smentito le voci sulla sospensione delle loro operazioni, annunciando invece importanti aggiustamenti strategici e tecnologici.

Whois Stormous Ransomware Group

Stormous è un gruppo di ransomware attivo dal 2021, noto per i suoi attacchi contro organizzazioni e aziende in tutto il mondo, specialmente negli Stati Uniti e in Ucraina. Dichiarano di supportare il governo russo nella guerra contro l’Ucraina e utilizzano il ransomware per crittografare i dati delle vittime, richiedendo un riscatto per la decrittazione. Inoltre, minacciano di pubblicare informazioni sensibili se il riscatto non viene pagato, una pratica conosciuta come doppia estorsione​​​​.

Il messaggio che Stormous ha pubblicato sul proprio canale Telegram a supporto della Russia

Stormous è anche noto per le sue affermazioni aggressive e spesso non verificate di attacchi e furti di dati. Ad esempio, hanno dichiarato di aver violato i sistemi del Ministero degli Affari Esteri ucraino e di grandi aziende come Coca-Cola e Epic Games, ma molte di queste affermazioni sono state messe in dubbio dagli esperti di sicurezza informatica, che sospettano che il gruppo possa cercare principalmente attenzione e notorietà piuttosto che un guadagno finanziario consistente​​​​.

Il messaggio che Stormous ha pubblicato sul proprio canale Telegram dopo il presunto attacco ad Epic Games

Nel 2023, Stormous ha annunciato una partnership con il gruppo GhostSec, unendo le forze per intensificare gli attacchi a livello globale. Questa collaborazione ha rafforzato le loro capacità operative, consentendo loro di utilizzare strumenti più sofisticati per attacchi e raccolta di dati​​.

 Questo gruppo, noto per le sue attività di cybercrimine, ha rivelato l’aggiornamento del loro programma di ransomware StmX/GhostLocker alla versione 4, che promette funzionalità avanzate e migliorate per i loro associati, siano essi membri ufficiali del gruppo o collaboratori esterni.

Annuncio dal loro canale Telegram

Il messaggio che Stormous ha pubblicato sul proprio canale Telegram

Traduzione:

Ciao,

Vogliamo informare tutti che le nostre operazioni non sono state sospese. Stiamo semplicemente apportando alcuni aggiustamenti:

Il programma di ransomware (StmX/GhostLocker) viene aggiornato alla versione 4.

Il servizio sarà offerto a tutti gratuitamente in determinate condizioni, e a pagamento in altre condizioni.

Tutti i nostri associati (sia membri che non membri) continueranno il loro lavoro senza problemi con migliori funzionalità. Per coloro che sono affiliati al programma GhostLocker, i nostri partner di GhostSec saranno reintegrati nella nuova versione.

Il blog è in fase di aggiornamento e tutte le aziende e i dati che non sono stati trapelati durante i nostri giorni di inattività saranno rilasciati gratuitamente una volta che il blog sarà rilanciato. Per le aziende che hanno pagato per la decrittazione, i loro dati saranno rimossi dalla nostra lista di archiviazione.

Tutti possono utilizzare i nostri servizi gratuitamente al momento del lancio in determinate condizioni che saranno menzionate loro, e a pagamento se tali condizioni non saranno rispettate.

(Non abbiamo altri canali o blog. Tutti i link relativi alle nostre operazioni saranno pubblicati qui. Qualsiasi altra operazione non è collegata a noi o ai nostri affiliati.)

Dall’analisi del post pubblicato, possiamo derivare diversi punti:

• Aggiornamenti al Programma di Ransomware
• Modifiche al modello di Servizio
• Aggiornamenti del blog e rilascio di dati
• Reintegrazione dei Partner di GhostSec

Aggiornamenti al Programma di Ransomware

La nuova versione di StmX/GhostLocker, soprannominata GhostLocker 4, rappresenta un significativo miglioramento rispetto alle versioni precedenti. Questo aggiornamento mira a fornire strumenti più efficaci e potenti per perpetrare attacchi ransomware, rendendo il software più attraente per una vasta gamma di cybercriminali. Le specifiche tecniche delle nuove funzionalità non sono state divulgate, ma il gruppo ha assicurato che queste miglioreranno notevolmente l’efficienza e l’efficacia delle operazioni.

Modifiche al Modello di Servizio

In una mossa sorprendente, Stormous ha anche annunciato un cambiamento radicale nel loro modello di servizio. Ora, i loro servizi di ransomware saranno offerti gratuitamente a determinate condizioni, mentre altre condizioni comporteranno una tariffa. Sebbene i dettagli specifici di queste condizioni non siano stati ancora rivelati, il gruppo ha dichiarato che saranno comunicati agli utenti al momento del lancio della nuova versione del programma. Questo approccio potrebbe essere una strategia per ampliare la loro base di utenti, offrendo incentivi per attrarre nuovi affiliati.

Aggiornamenti del Blog e Rilascio di Dati

Un altro annuncio rilevante riguarda il blog di Stormous, che è attualmente in fase di aggiornamento. Come parte di questo aggiornamento, il gruppo ha deciso di rilasciare gratuitamente tutte le informazioni e i dati delle aziende non divulgati durante il loro periodo di inattività. Questo rilascio potrebbe causare notevoli danni reputazionali e finanziari alle aziende coinvolte. Tuttavia, le aziende che hanno pagato per i servizi di decrittazione saranno escluse dalla lista di archiviazione del gruppo, garantendo che i loro dati non saranno divulgati.

Reintegrazione dei Partner di GhostSec

Infine, Stormous ha confermato che i loro partner di GhostSec, affiliati al programma GhostLocker, saranno reintegrati senza problemi nella nuova versione del software. Questa decisione è volta a mantenere la coesione e l’efficacia della loro rete di collaboratori, assicurando che tutti i partner possano continuare le loro operazioni senza interruzioni.

Conclusioni

Gli ultimi annunci del gruppo di ransomware Stormous evidenziano una fase di transizione e ristrutturazione significativa. Con l’aggiornamento del loro software StmX/GhostLocker alla versione 4 e il cambiamento nel loro modello di servizio, il gruppo mira a rafforzare la propria posizione nel panorama del cybercrimine. Le implicazioni di questi cambiamenti potrebbero essere profonde, sia per le aziende potenzialmente colpite che per la comunità di cybercriminali che ruota intorno a Stormous. Sarà interessante vedere come evolverà la situazione nei prossimi mesi e quali saranno le risposte delle autorità e delle organizzazioni di sicurezza informatica a queste nuove sfide.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Pietro Melillo

Membro e Riferimento del gruppo di Red Hot Cyber Dark Lab, è un ingegnere Informatico specializzato in Cyber Security con una profonda passione per l’Hacking e la tecnologia, attualmente CISO di WURTH Italia, è stato responsabile dei servizi di Cyber Threat Intelligence & Dark Web analysis in IBM, svolge attività di ricerca e docenza su tematiche di Cyber Threat Intelligence presso l’Università del Sannio, come Ph.D, autore di paper scientifici e sviluppo di strumenti a supporto delle attività di cybersecurity. Dirige il Team di CTI "RHC DarkLab"

Aree di competenza: Cyber Threat Intelligence, Ransomware, Sicurezza nazionale, Formazione