Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Redazione RHC : 15 Giugno 2021 09:35
Gli attacchi informatici non sono mai stati così complessi, redditizi e confusi come oggi. In questo articolo scopriremo i 10 gruppi hacker più pericolosi del 2021.
A volte è difficile definire con chiarezza le varie attività di hacking svolte da gruppi criminali o dagli stati-nazione. Gli stati-nazione a volte collaborano tra loro per obiettivi comuni e talvolta si avvalgono di gruppi di criminalità informatica. Inoltre, una volta che gli strumenti dannosi vengono rilasciati, vengono spesso riciclati e riutilizzati dai loro diretti concorrenti.
Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)
Il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi (o persone di qualsiasi età) alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Diamo oggi una occhiata ad alcuni dei gruppi di black hat hacker più micidiali e più creativi del 2021, senza un ordine particolare, capaci di realizzare attacchi informatici di ogni genere e grado.
Chiamati anche Hidden Cobra, Guardians of Peace, APT38, Whois Team, Zinc), è una organizzazione di hacker associata alla Corea del Nord. Lazarus è diventato famoso a causa di quella che potrebbe essere la più grande rapina informatica della storia: l’incidente di hacking alla banca centrale del Bangladesh. Questo incidente si è verificato nel febbraio 2016 e ha provocato il furto di oltre 100 milioni di dollari USA. Tuttavia, le azioni dell’organizzazione vanno ben oltre.
Negli ultimi dieci anni, Lazarus è stato responsabile di molti incidenti informatici, iniziando con attacchi DDoS sui siti Web coreani, per poi continuare ad attaccare istituzioni finanziarie e infrastrutture coreane. Nel 2014 ha attaccato Sony Pictures oltre ad aver creato Il famoso WannaCry, il primo attacco ransomware di scala globale.
Negli ultimi anni, Lazarus ha iniziato a dedicarsi al campo dei ransomware e delle criptovalute, tenendo d’occhio i ricercatori di sicurezza per ottenere informazioni sulla ricerca delle vulnerabilità in corso. Secondo Dmitry Galov, ricercatore sulla sicurezza di Kaspersky, l’organizzazione dispone di “risorse illimitate e un’ottima tecnologia di ingegneria sociale”.
Durante l’epidemia da coronavirus, Lazarus ha applicato tecniche di ingegneria sociale per violare le aziende farmaceutiche e le società collegate, compresi i produttori di vaccini, che sono diventate degli obiettivi importanti. Microsoft ha affermato che questi hacker hanno inviato e-mail di spear phishing contenenti “descrizioni di lavoro predisposte” con l’intento di indurre i loro obiettivi a fare clic sui collegamenti dannosi.
Lazarus utilizza una varietà di malware personalizzato, tra cui backdoor, programmi di costruzione di tunnel cifrati, programmi di data mining e malware distruttivo, che a volte vengono sviluppati internamente. L’organizzazione non ha risparmiato sforzi per continuare a impegnarsi in attività di hacking.
FireEye Mandiant Threat Intelligence ha dichiarato: “APT38 è unico perché non teme la distruzione su larga scala delle reti delle sue vittime nelle sue operazioni. L’organizzazione è cauta, accorta e ha mostrato di rimanere all’interno delle reti delle organizzazioni colpite per molto tempo”.
Noti anche come Dark Halo, Nobelium, SilverFish, StellarParticle, nel 2020, migliaia di aziende e istituzioni hanno scaricato l’aggiornamento da loro predisposto nel software SolarWinds Orion, contenente la famosa backdoor, lasciando libero il gruppo di accedere alle reti e ai sistemi delle organizzazioni. Il Dipartimento della Difesa degli Stati Uniti, il governo britannico, il Parlamento europeo e molte agenzie e aziende governative in tutto il mondo sono tutte vittime di questo attacco alla catena di approvvigionamento.
Questa operazione di spionaggio informatico era rimasta segreta per almeno nove mesi prima di essere rivelata l’8 dicembre 2020. Anche FireEye, la società di sicurezza che ha rivelato l’operazione, è stata a sua volta una vittima, che sostenne di essere stata violata da un’organizzazione di hacker sostenuta da un governo con diversi strumenti del red-team. La situazione attuale è peggiore di quanto inizialmente previsto. L’attacco alla catena di approvvigionamento del software SolarWinds Orion è solo uno dei canali di accesso utilizzati dagli aggressori. I ricercatori hanno anche scoperto un altri attacchi alla catena di approvvigionamento, questa volta si trattava dei servizi cloud di Microsoft. Inoltre, i ricercatori hanno scoperto che sono state sfruttate anche diverse vulnerabilità nei prodotti Microsoft e VMware.
Charles Carmakal, Senior Vice President e Chief Technology Officer di FireEye Mandiant Threat Intelligence, ha dichiarato: “UNC2452 è la più avanzata, disciplinata e sfuggente delle organizzazioni di hacker che monitoriamo. Le loro capacità di spionaggio sono eccezionali. Le tecniche di attacco e difesa sono eccezionali. Hanno il controllo di entrambi gli aspetti e utilizza questa conoscenza per affinare le proprie capacità di intrusione e nascondersi nell’ambiente di destinazione. UNC2452 mostra un raro livello di sicurezza operativa e può rimanere a lungo nelle reti delle aziende e nelle imprese governative senza essere scoperto.”
La National Security Agency (NSA), il Federal Bureau of Investigation (FBI) e diverse altre agenzie hanno affermato che l’organizzazione hacker era supportata dalla Russia e ha imposto delle sanzioni. Le agenzie statunitensi hanno sostenuto che l’attacco alla catena di approvvigionamento di SolarWinds potrebbe essere opera del Servizio di intelligence estero federale russo (SVR). Altri indizi puntano all’organizzazione di hacker Cozy Bear/APT29.
Tuttavia, la situazione sembra più complessa. I ricercatori di Kaspersky hanno notato che ci sono diversi frammenti di codice che possono collegare questo attacco con il gruppo di hacker di lingua russa Turla (noto anche come Snake, Uroburos), che attacca principalmente governi e diplomatici in Europa e negli Stati Uniti.
Un altro rapporto pubblicato da Secureworks ha affermato che anche l’organizzazione di hacker cinesi Spiral ha preso di mira i clienti di SolarWinds in un’altra operazione di hacking.
Noto anche come EQGRP, Housefly, Remsec, Equation Group è un’altra organizzazione di hacker abile e ricca di risorse. Già all’inizio del 21° secolo, e forse anche prima, l’organizzazione ha iniziato le sue attività. Ma è stato solo nel 2015 che i ricercatori di sicurezza di Kaspersky hanno pubblicato un rapporto per rivelare molti dei suoi strumenti all’avanguardia, dell’organizzazione di hacker.
I ricercatori hanno chiamato il gruppo di hacker “Equation Group” a causa della sua crittografia avanzata e dei metodi avanzati di offuscamento. Gli strumenti dell’organizzazione sono estremamente complessi e probabilmente collegati alle operazioni di acquisizione di intelligence (TAO) della NSA.
Gli obiettivi di Equation Group abbracciano molteplici settori: istituzioni governative, militari e diplomatiche, istituzioni finanziarie e grandi aziende impegnate nei settori delle telecomunicazioni, dell’aviazione, dell’energia, del petrolio e del gas, dei media e dei trasporti. Molte delle vittime si trovano in Iran, Pakistan, Afghanistan, India, Siria e Mali.
Lo strumento più potente di Equation Group è un modulo in grado di riprogrammare il firmware del disco rigido di vari produttori.I produttori di dischi rigidi includono Seagate, Western Digital, Toshiba e IBM. Con l’aiuto di questo modulo, un utente malintenzionato può creare un archivio segreto sicuro sul disco rigido della vittima, il cui contenuto può anche essere cancellato e riformattato. L’organizzazione ha anche creato una serie di meccanismi di comando e controllo basati su USB in grado di mappare le reti fisicamente isolate. Questo meccanismo è stato completato prima che funzioni simili fossero integrate all’iterno del famoso malware Stuxnet.
Queste tecnologie avanzate alla fine sono cadute nelle mani di hacker di altre nazioni. Secondo Symantec, gli strumenti di Equation Group sono stati acquisiti dall’organizzazione di spionaggio informatico cinese Buckeye (nota anche come Gothic Panda, APT3, UPS Team) e utilizzati per altri scopi: sono stati utilizzati per attaccare aziende in Europa e in Asia nel 2016. I ricercatori di CheckPoint hanno scoperto che Zirconium (APT31), un’altra organizzazione di hacker supportata dalla Cina, ha clonato il programma di exploit di escalation dei privilegi EpMeWindows di Equation Group e ha creato uno strumento chiamato Jian.
Tutto questo è accaduto prima della violazione dei dati di Shadow Brokers nel 2017, in cui diversi strumenti di hacking sviluppati da Equation Group sono apparsi online, inclusa la famigerata vulnerabilità/exploit EternalBlue utilizzata nell’attacco WannaCry.
I ricercatori di CheckPoint Eyal Itkin e Itay Cohen hanno scritto: “Le armi informatiche sono intrinsecamente digitali e volatili. Rubare armi informatiche e trasferirsi in un altro continente è semplice come inviare un’e-mail”.
Noto anche come Anunak, Cobalt Group o FIN7, nel 2013, hackerò una serie di istituzioni finanziarie con la stessa tecnica di hacking. Gli aggressori prima inviano e-mail di spear phishing per infiltrarsi in queste istituzioni, quindi utilizzano vari strumenti per accedere ai personal computer o ai server per estrarre dati o denaro in un secondo momento. Carbanak, il gruppo di criminali informatici dietro questi attacchi, ha eseguito le proprie aggressioni in modo rigoroso e accurato, rimanendo nelle reti delle organizzazioni per molti mesi.
L’organizzazione hacker Carbanak potrebbe avere sede in Ucraina e le sue società target si trovano principalmente in Russia, Stati Uniti, Germania e Cina. Una delle vittime di Carbanak ha perso 7,3 milioni di dollari a causa di frodi bancomat, mentre un’altra vittima ha perso 10 milioni di dollari dopo che la sua piattaforma di online banking è stata violata. Gli attacchi permettevano di ordinare ai bancomat di erogare denaro in un momento predeterminato senza un intervento umano sul posto.
Nel 2014, diverse società di sicurezza hanno indagato sull’incidente di hacking di Carbanak, ma le loro conclusioni sono state molto diverse. Ariel Jungheit, ricercatore senior sulla sicurezza di Kaspersky, ha dichiarato: “Carbanak sembrano essere due diverse organizzazioni che utilizzano lo stesso malware. Un’organizzazione è principalmente dedicata a violare le istituzioni finanziarie (Kaspersky si è concentrata su questa organizzazione) e l’altra è più dedicata a svolgere hack di rilievo. Probabilmente era un unico gruppo, poi divisa in diversi gruppi”.
Nel marzo 2018, Europol ha annunciato che, dopo una “indagine complessa e approfondita”, il capo dell’organizzazione Carbanak era stato arrestato. Tuttavia, ad oggi, molti membri di questo gruppo di criminalità informatica si sono dispersi in altre organizzazioni hacker. Il gruppo di criminalità informatica FIN7 è principalmente interessato al settore della vendita al dettaglio e della ristorazione, mentre Cobalt si concentra sulle istituzioni finanziarie.
Jeremy Kennelly, Senior Analysis Manager di FireEye Mandiant Threat Intelligence, ha dichiarato: “Se l’obiettivo dell’azione giudiziaria è un individuo associato a una grande organizzazione criminale ricca di risorse come FIN7, il suo impatto è difficile da giudicare, perché la responsabilità principale può spesso essere multipla. individui o più squadre si assumono la responsabilità.” Dopo l’arresto, le tattiche, le tecniche e le procedure di FIN7 non sono cambiate molto.
Noto anche come Telebot, Electrum, Voodoo Bear, Iron Viking, è una organizzazione russa di spionaggio informatico sospettata di diversi gravi incidenti negli ultimi dieci anni, tra cui il blackout in Ucraina nel 2015 e nel 2016, l’attacco alla catena di approvvigionamento NotPetya iniziato con il rilascio di ransomware nel 2017, gli attacchi alle Olimpiadi invernali di Pyeongchang, come le elezioni generali statunitensi del 2016, le elezioni presidenziali francesi del 2017 e le elezioni generali georgiane del 2019.
Il vicepresidente dell’intelligente sulle minacce di FireEye Mandiant John Hultquist ha dichiarato: “Le unità dell’agenzia di intelligence militare russa GRU stanno supportando le attività di Sandworm”.
Negli ultimi anni, le tattiche, le tecniche e le procedure dell’organizzazione sono diventate ransomware integrati, ma i ricercatori non sono sorpresi da questo cambiamento. Ben Read, Director of Threat Intelligence Analysis di Mandiant, ha dichiarato: “Il ransomware basato sulla crittografia è solitamente associato ad attività criminali informatiche su larga scala e può essere facilmente riutilizzato dalle organizzazioni di spionaggio informatico per attacchi distruttivi”.
Noti anche come Indrik Spider, Evil Corp ha preso il nome dalla serie americana “Mr. Robot”, ma i suoi membri e i programmi di exploit erano attivi su Internet prima che l’episodio fosse trasmesso. Questo gruppo di hacker di lingua russa è il creatore di uno dei trojan bancari più pericolosi della storia, Dridex (noto anche come Cridex o Bugat). L’organizzazione ha attaccato Garmin e dozzine di altre società nel 2020.
I documenti del tribunale mostrano che la Evil Corp adotta un modello di franchising, anche facendo pagare gli affiliati con il 50% dei proventi per accedere al ransowmare Dridex. L’FBI stima che l’organizzazione hacker abbia rubato non meno di 100 milioni di dollari negli ultimi dieci anni.
I ricercatori della sicurezza hanno affermato che oltre a Dridex, Evil Corp ha anche creato la serie di ransomware WastedLocker e il ransomware Hades. La società di sicurezza di rete ESET ha anche affermato che il ransomware BitPaymer potrebbe essere un capolavoro di questa organizzazione hacker.
Nel 2019, il Dipartimento di Giustizia degli Stati Uniti ha citato in giudizio due importanti membri dell’organizzazione, Maksim Yakubets e Igor Turashev, con molteplici accuse, tra cui cospirazione per commettere frodi e frodi telefoniche, ma l’azione giudiziaria non ha impedito a Evil Corp di continuare le sue attività di hacking.
Adam Meyers, vicepresidente senior di CrowdStrike Intelligence, ha dichiarato: “L’anno scorso, il gruppo di hacker ha adottato nuovi strumenti per eludere le sanzioni imposte dal Dipartimento del Tesoro degli Stati Uniti per impedire alle vittime di pagare il riscatto richiesto. I criminali sono stati perseguiti ma le operazioni di hacking sono ancora fiorenti”.
Noti anche come Fantasy Bear, APT28, Sofacy, Sednit, Strontium, questa organizzazione di hacker di lingua russa è apparsa intorno a noi dalla metà degli anni 2000. I suoi obiettivi includono le agenzie governative e militari negli Stati Uniti, dellì’Europa occidentale e nel Caucaso meridionale, oltre a società energetiche e dei media. Le vittime dell’organizzazione hanno incluso il parlamento tedesco e norvegese, la Casa Bianca, la NATO e la stazione televisiva francese TV5.
Il caso più famoso di Fancy Bear è stata l’invasione nel 2016 del Comitato nazionale democratico degli Stati Uniti e l’attacco alla campagna di Hillary Clinton, che avrebbe influito sui risultati delle elezioni presidenziali statunitensi. Si ritiene che Fancy Bear sia l’organizzazione hacker Guccifer 2.0. Secondo CrowdStrike, che a sua volta è un’altra organizzazione di hacker di lingua russa.
Fancy Bear utilizza principalmente e-mail di spear phishing inviate il lunedì e il venerdì per attirare le vittime all’esca, ma occasionalmente registra anche nomi di dominio molto simili ai siti Web legittimi e costruisce siti Web fake per raccogliere le credenziali di accesso.
Noti anche come Emissary Panda, Iron Tiger, APT27, questa organizzazione di hacker parla cinese ed è attiva da più di dieci anni, prendendo di mira principalmente ambasciatori e aziende straniere in molti settori diversi, come l’aviazione, la difesa, la tecnologia, l’energia, la sanità, l’istruzione e il governo. Le sue attività includono le aree del Nord America, Sud America, Europa, Asia e Medio Oriente.
Jungheit di Kaspersky ha affermato che le tecniche di penetration test attuate dall’organizzazione sono eccezionali, di solito utilizzando strumenti disponibili pubblicamente come il framework Metasploit. “Oltre allo spear phishing come mezzo di consegna, l’organizzazione hacker utilizza anche SWC (Strategic Web Attack) nelle sue operazioni per abbattere le vittime con un tasso di successo molto alto.”
I ricercatori di Trend Micro hanno notato che l’organizzazione può aggiornare e modificare rapidamente lo strumento, rendendo difficile il rilevamento da parte dei ricercatori di sicurezza.
Noti anche come Sodinokibi, Pinchy Spider-correlato a GandCrab, l’organizzazione di hacker REvil prende il nome dal film “Resident Evil” (Resident Evil) e dalla sua serie di giochi. Si trova con molto probabilità nella federazione russa e gestisce alcuni dei più redditizi ransomware as a service (RaaS) al momento disponibili. Il gruppo di hacker è apparso per la prima volta all’attenzione del pubblico nell’aprile 2019, poco dopo la chiusura del famigerato GandCrab, e da allora la sua attività sembra essere fiorente. Le vittime dell’organizzazione includono Brown-Forman, il produttore di whisky, Acer, Honda, Travelex e Jack Daniels.
Il riscatto richiesto dagli operatori di REvil è il più alto nel 2021. Per distribuire il ransomware, REvil collabora con le organizzazioni affiliate reclutate nei forum di criminalità informatica e distribuisce dal 60% al 75% del riscatto mentre gli sviluppatori aggiornano frequentemente il ransomware per evitare il rilevamento degli attacchi in corso.
Kujawa di Malwarebytes Labs ha affermato che REvil differisce da altre organizzazioni in quanto i suoi sviluppatori sono incentrati sul business. “L’anno scorso, un membro dell’organizzazione è stato intervistato, affermando di aver realizzato 100 milioni di dollari di entrate attraverso estorsioni e minacce di divulgazione, e che il gruppo aveva anche pianificato di espandere le proprie capacità di estorsione attraverso attacchi DDoS in futuro”.
L’organizzazione di lingua russa BokBot o IcedID è emersa per la prima volta nel 2016, ma negli ultimi anni è diventata sempre più sofisticata e di fascia alta, creando una varietà di strumenti per il crimine informatico. Inizialmente, Wizard Spider era noto per il suo malware bancario commerciale TrickBot, ma da allora l’organizzazione ha ampliato il suo set di strumenti ransomware per includere Ryuk, Conti e BazarLoader. Inoltre, Wizard Spider continua a migliorare il suo arsenale per essere sempre più redditizio.
Meyers di CrowdStrike ha dichiarato: “La libreria di malware di Wizard Spider non è pubblicizzata sui forum criminali, il che indica che potrebbero voler commerciare o collaborare solo con organizzazioni criminali fidate”. tendono ad essere attacchi ransomware altamente mirati e ad alto rendimento chiamati “caccia alle grandi prede”.
Wizard Spider stima la richiesta di riscatto in base al valore dell’obiettivo: sembra che nessuna industria sia vietata. Durante la nuova epidemia di polmonite da corona, l’organizzazione ha utilizzato il malware Ryuk e Conti per attaccare dozzine di istituzioni mediche negli Stati Uniti. Anche molti ospedali in tutto il mondo sono stati colpiti.
Noto anche come Winnti, Barium, Double Dragon, Wicked Panda, APT41, Lead, Bronze Atlas,
Winnti potrebbe essere un insieme di diversi team di lingua cinese, entrambi impegnati in attività criminali informatiche e nell’esecuzione di attacchi informatici sponsorizzati dallo stato.
Le sue operazioni di spionaggio informatico prendono di mira aziende mediche e aziende tecnologiche, spesso rubando la loro proprietà intellettuale. Allo stesso tempo, attaccano l’industria dei videogiochi, manipolano le valute virtuali e cercano di distribuire ransomware.
È difficile definire questa organizzazione di hacking principalmente perché le sue attività di hacking si sovrappongono ad altre organizzazioni APT di lingua cinese. Ad esempio, alcuni strumenti e malware sono condivisi tra più organizzazioni di hacking di lingua cinese.
Winnti utilizza dozzine di set di codici e strumenti diversi e spesso si affida a e-mail di spear phishing per infiltrarsi nelle aziende target. Il rapporto di Mandiant Threat Intelligence affermava: “Durante un’attività di hacking durata quasi un anno, APT41 ha invaso centinaia di sistemi e utilizzato quasi 150 tipi di malware, tra cui backdoor, programmi di furto di credenziali, keylogger e rootkit. Anche APT41 ha un’implementazione limitata di rootkit. e i bootkit master boot record (MBR), che vengono utilizzati per nascondere il malware e mantenerne la presenza su importanti sistemi vittima.”
RedazioneIl 25 febbraio 2025 WindTre ha rilevato un accesso non autorizzato ai sistemi informatici utilizzati dai propri rivenditori. L’intrusione, riconosciuta come un’azione malevola, è st...
Ancora non sono chiari i motivi che hanno causato un grave Blackout in Spagna e Portogallo nelle ultime ore. Vaste aree sono rimaste senza energia elettrica, scatenando un’ondata di speculazion...
Un’improvvisa e massiccia interruzione di corrente ha colpito la Penisola Iberica, gettando vaste zone di Spagna e Portogallo al buio e causando significative interruzioni alle infras...
Il report DarkMirror Q1 2025 di DarkLab, il laboratorio di Cyber Threat Intelligence di Red Hot Cyber, offre un’analisi dettagliata dell’evoluzione del ransomware in Italia e nel mondo. ...
Lo sviluppo di supercomputer per l’intelligenza artificiale sta entrando in una nuova orbita: in termini di scala, costi e consumi energetici e infrastrutture e megaprogetti. Uno studio condott...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
