Sandro Sana : 14 Luglio 2024 09:05
Negli ultimi mesi, Sysdig ha osservato un incremento significativo delle attività del gruppo CRYSTALRAY, un’organizzazione criminale specializzata in attacchi contro ambienti cloud. Il numero di vittime attribuite a CRYSTALRAY è aumentato vertiginosamente da 100 a 1500, segnalando una minaccia in rapida espansione.
CRYSTALRAY è noto per utilizzare il worm open-source SSH-Snake, che ruba le chiavi SSH dai server compromessi per muoversi lateralmente tra diverse macchine, rilasciando carichi malevoli aggiuntivi. Questo worm non solo si replica attraverso la rete, ma invia anche le chiavi rubate e la cronologia bash al server di comando e controllo del gruppo, facilitando attacchi più sofisticati e mirati.
Strumenti di Attacco
Vorresti toccare con mano la Cybersecurity e la tecnologia? Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)
Se sei un ragazzo delle scuole medie, superiori o frequenti l'università, oppure banalmente un curioso di qualsiasi età, il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Tecniche di Attacco
CRYSTALRAY sfrutta varie vulnerabilità note, tra cui:
Inoltre, si sospetta che anche le soluzioni Atlassian Confluence siano bersagliate, sulla base di modelli di sfruttamento osservati contro 1800 indirizzi IP, di cui un terzo situati negli Stati Uniti.
L’obiettivo principale di CRYSTALRAY è il furto e la monetizzazione delle credenziali rubate, spesso vendute nel dark web o su Telegram. Il gruppo distribuisce anche criptominer per generare profitti ulteriori. La recente espansione dell’attività di CRYSTALRAY ha portato a un aumento delle minacce contro le infrastrutture cloud, evidenziando la necessità di misure di sicurezza più rigorose.
Per contrastare efficacemente CRYSTALRAY, Sysdig consiglia di minimizzare la superficie di attacco attraverso aggiornamenti tempestivi delle patch di sicurezza per eliminare le vulnerabilità non appena scoperte. Inoltre, l’adozione di pratiche di sicurezza come il monitoraggio continuo e la gestione delle identità e degli accessi può ridurre significativamente il rischio di compromissioni.
Dal rapporto del 2024 di Sysdig (https://sysdig.com/2024-cloud-native-security-and-usage-report/), emergono ulteriori tendenze sulla sicurezza cloud-native:
L’aumento delle attività di CRYSTALRAY rappresenta una seria minaccia per le infrastrutture cloud. La capacità del gruppo di sfruttare vulnerabilità note, utilizzare strumenti open-source per piazzare backdoor e muoversi lateralmente nelle reti compromesse richiede una risposta robusta e tempestiva da parte delle organizzazioni. Implementare misure di sicurezza adeguate, mantenere aggiornati i sistemi e adottare pratiche di gestione delle identità efficaci sono passi cruciali per mitigare questi rischi. La consapevolezza e la preparazione sono essenziali per proteggere le infrastrutture cloud dalle minacce in continua evoluzione come quelle rappresentate da CRYSTALRAY.
Il ransomware HellCat è apparso nella seconda metà del 2024 e ha attirato l’attenzione degli analisti grazie all’umorismo delle sue dichiarazioni pubbliche. Ricordiamo l’...
Il 28 marzo 2025, un utente del noto forum di cybersecurity BreachForums, con lo pseudonimo ThinkingOne, ha rivelato quello che potrebbe essere il più grande data breach mai registrato nel mondo ...
Quando Jeffrey Goldberg dell’Atlantic ha fatto trapelare accidentalmente un messaggio di gruppo privato di alti funzionari statunitensi su un possibile attacco contro gli Houthi nello Yemen, ha...
Ogni mese diventa sempre più evidente: le password non funzionano più. Gli hacker hanno imparato a eludere anche la protezione a due fattori sfruttando sessioni rubate e milioni di dati comp...
La pseudonimizzazione è una tecnica di protezione dei dati definita dall’art. 4(5) del GDPR. Consiste nella trasformazione dei dati personali in modo tale che non possano più essere a...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006