Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Google Scopre Triplestrength: il gruppo Ransomware che colpisce il Cloud per estrarre Criptovalute

Redazione RHC : 20 Febbraio 2025 07:13

Team di intelligence sulle minacce di Google ha reso pubblica l’informazione sul gruppo di hacker Triplestrength, finora sconosciuto, attivo dal 2020. Il gruppo è composto da poche persone, ma la portata delle sue operazioni è impressionante, secondo Genevieve Stark, a capo del team dedicato alla criminalità informatica, all’hacktivismo e alle operazioni informative del Google Threat Intelligence Group.

I criminali utilizzano un approccio multiforme agli attacchi, infettando i computer delle vittime con ransomware e prendendo contemporaneamente il controllo degli account cloud per estrazione di criptovalute. Allo stesso tempo, i membri del gruppo sono molto attivi sui forum degli hacker, dove offrono l’accesso ai server hackerati.

L’ambito di interesse degli aggressori comprendeva i server delle più grandi piattaforme cloud: Google Cloud, Amazon Web Services, Microsoft Azure, Linode, OVHCloud e Digital Ocean. Come ha dimostrato l’indagine, l’accesso alle credenziali degli utenti viene ottenuto tramite il malware infistealer Raccoon, che ruba informazioni dai computer Windows infetti.

Iscriviti GRATIS alla RHC Conference 2025 (Venerdì 9 maggio 2025)

Il giorno Venerdì 9 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la RHC Conference 2025. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.

La giornata inizierà alle 9:30 (con accoglienza dalle 9:00) e sarà interamente dedicata alla RHC Conference, un evento di spicco nel campo della sicurezza informatica. Il programma prevede un panel con ospiti istituzionali che si terrà all’inizio della conferenza. Successivamente, numerosi interventi di esperti nazionali nel campo della sicurezza informatica si susseguiranno sul palco fino alle ore 19:00 circa, quando termineranno le sessioni. Prima del termine della conferenza, ci sarà la premiazione dei vincitori della Capture The Flag prevista per le ore 18:00.
Potete iscrivervi gratuitamente all'evento utilizzando questo link.

Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Gli analisti sottolineano che il gruppo separa deliberatamente le sue attività di estorsione da quelle di cryptomining. Il ransomware viene utilizzato solo per attaccare i sistemi locali, senza compromettere l’infrastruttura cloud. A differenza dei moderni gruppi criminali, Triplestrength non pratica la doppia estorsione con il furto di dati: al contrario, i file vengono semplicemente crittografati e viene richiesto un riscatto per il loro recupero.

Per la crittografia, gli aggressori utilizzano vari tipi di malware: Phobos, LokiLocker e RCRU64. Tutti questi programmi funzionano secondo il modello ransomware-as-a-service (RaaS), ma a differenza delle soluzioni più diffuse RansomHub e Lockbit, non forniscono servizi aggiuntivi, come piattaforme darknet per la pubblicazione di dati rubati o assistenza nelle negoziazioni del riscatto.

I metodi per penetrare inizialmente nei sistemi delle vittime si sono rivelati piuttosto semplici. Il gruppo non sfrutta vulnerabilità zero-day né tecniche sofisticate di escalation dei privilegi. La tattica principale è quella degli attacchi brute force automatizzati per accedere ai server desktop remoti. Dopo l’attacco, gli hacker si muovono nella rete dell’organizzazione, disattivando gli Antivirus oltre ad usare strumenti disponibili al pubblico come Mimikatz e NetScan.

Un esempio lampante di un attacco del genere si è verificato nel maggio 2024: dopo aver ottenuto l’accesso al server RDP forzando la password, gli aggressori sono penetrati nella rete aziendale, hanno disattivato i meccanismi di sicurezza e hanno distribuito RCRU64 su diversi computer con sistema operativo Windows.

Le informazioni sulle attività di Triplestrength sono apparse nel primo rapporto Threat Horizons di Google del 2025. Il collegamento tra estorsione e cryptomining è stato stabilito grazie ad annunci su Telegram, dove il gruppo cercava aiuto per distribuire RCRU64. I resoconti degli autori di questi messaggi corrispondono agli account utilizzati per organizzare l’attività mineraria illegale.

Le attività della gang nel settore delle criptovalute sono iniziate intorno al 2022. Inizialmente gli aggressori hanno sfruttato la potenza di calcolo dei computer locali delle vittime, ma poi sono passati all’infrastruttura cloud. Per estrarre denaro digitale viene utilizzata l’applicazione unMiner e il mining pool unMineable.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Attacco Hacker a 4chan! Dove è nato Anonymous, probabilmente chiuderà per sempre

L’imageboard di 4chan è praticamente inattivo da lunedì sera (14 aprile), apparentemente a causa di un attacco hacker. I membri dell’imageboard Soyjak party (noto anche semplic...

Zero-day su iPhone, Mac e iPad: Apple corre ai ripari con patch d’emergenza

Apple ha rilasciato patch di emergenza per correggere due vulnerabilità zero-day. Secondo l’azienda, questi problemi sono stati sfruttati in attacchi mirati ed “estremamen...

CVE e MITRE salvato dagli USA. L’Europa spettatrice inerme della propria Sicurezza Nazionale

Quanto accaduto in questi giorni deve rappresentare un campanello d’allarme per l’Europa.Mentre il programma CVE — pilastro della sicurezza informatica globale — rischiava ...

Spotify è Andato giù e DarkStorm Rivendica un attacco DDoS col botto!

​Il 16 aprile 2025, Spotify ha subito un’interruzione del servizio che ha colpito numerosi utenti in Italia e nel mondo. A partire dalle ore 14:00, migliaia di segnalazioni sono state re...

20 Milioni di euro persi da IKEA per un attacco Ransomware

Fourlis Group, il gestore dei negozi IKEA in Grecia, Cipro, Romania e Bulgaria, ha dichiarato di aver subito un attacco ransomware prima del Black Friday del 27 novembre 2024, che ha causato...