Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Redazione RHC : 8 Maggio 2024 14:11
In Russia, c’era una regola non scritta riguardo al crimine informatico che rifletteva una pratica comune: si poteva agire al di fuori dei confini della Federazione Russa, ma non all’interno. Questo significava che i criminali informatici russi potevano operare liberamente all’estero, spesso senza temere conseguenze legali, mentre erano soggetti a misure punitive se avessero preso di mira obiettivi all’interno del paese.
Quello che sta facendo la Cyber Gang MorLock è qualcosa che ha generato scandalo perché sta utilizzando per cifrare le aziende russe, il celebre ransomware LockBit 3 (Black).
Gli specialisti di FACCT hanno pubblicato un rapporto dedicato al nuovo gruppo di hacking MorLock . Questa cyber gang ransomware attacca le aziende russe almeno dall’inizio del 2024 e l’intensità dei loro attacchi è aumentata notevolmente negli ultimi mesi.
Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)
Il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi (o persone di qualsiasi età) alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Gli esperti hanno riscontrato per la prima volta i risultati delle attività di MorLock all’inizio del 2024 e, secondo loro, da allora almeno nove aziende russe (per lo più rappresentanti di medie e grandi imprese) sono diventate vittime di MorLock.
Il gruppo è specializzato nella crittografia dei dati nell’infrastruttura IT della vittima utilizzando malware come LockBit 3 (Black) e Babuk. Per ripristinare l’accesso, gli aggressori richiedono un riscatto, il cui importo può ammontare a decine o addirittura centinaia di milioni di rubli (Milioni di euro). Tuttavia, durante le trattative l’importo può essere ridotto di quasi la metà.
Poiché il gruppo non ruba dati, i suoi attacchi durano solo pochi giorni dal momento in cui ottengono l’accesso fino all’inizio del processo di crittografia dei dati.
Gli aggressori preferiscono utilizzare Sliver come framework post-sfruttamento, SoftPerfect Network Scanner e PingCastle per la ricognizione della rete e gli hacker hanno ottenuto alcune informazioni utilizzando i comandi PowerShell.
Come vettore di attacco iniziale, gli aggressori utilizzano le vulnerabilità nelle applicazioni pubbliche (ad esempio Zimbra), nonché l’accesso acquisito su mercati chiusi come il mercato russo. I ricercatori affermano che negli ultimi attacchi gli hacker hanno approfittato delle credenziali compromesse dei partner delle aziende colpite.
In ogni caso, se la vittima aveva installato un antivirus aziendale russo, gli aggressori, dopo aver ottenuto l’accesso al suo pannello amministrativo, hanno disabilitato la protezione e hanno utilizzato questo prodotto di sicurezza per distribuire il ransomware nella rete della vittima. Hanno utilizzato PsExec anche per distribuire ransomware e altri strumenti online.
A differenza del gruppo Shadow, MorLock fin dall’inizio della sua attività ha deciso di non utilizzare un “marchio” e preferisce rimanere nell’ombra: nella richiesta di riscatto gli hacker indicano come contatti solo l’ID nel Messenger di sessione.
I ricercatori notano che uno dei primi attacchi di MorLock alla fine di gennaio ha provocato un grave scandalo sul forum di hacker in lingua russa XSS.
Il fatto è che l’attacco era stato sferrato utilizzando il ransomware LockBit 3 (Black), Questo ha violato la regola non detta: “non crittografare le aziende Russe”. Come risultato della discussione, gli amministratori del forum hanno bloccato gli account di un certo numero di utenti associati agli attacchi alla Russia. Secondo FACCT alcuni di loro erano direttamente associati al gruppo MorLock.
LockBitSupp, l’amministratore di LockBit RaaS, LockBitSupp , rispose prontamente a questo incidente, sottolineando che “LockBit si astiene dal crittografare le società con sede nella Comunità degli Stati Indipendenti (CSI)”. Riconoscendo la gravità della situazione, LockBitSupp ha persino offerto un gesto di aiuto contattando l’organizzazione russa colpita per offrire il proprio sostegno.
RedazioneIl ransomware HellCat è apparso nella seconda metà del 2024 e ha attirato l’attenzione degli analisti grazie all’umorismo delle sue dichiarazioni pubbliche. Ricordiamo l’...
Il 28 marzo 2025, un utente del noto forum di cybersecurity BreachForums, con lo pseudonimo ThinkingOne, ha rivelato quello che potrebbe essere il più grande data breach mai registrato nel mondo ...
Quando Jeffrey Goldberg dell’Atlantic ha fatto trapelare accidentalmente un messaggio di gruppo privato di alti funzionari statunitensi su un possibile attacco contro gli Houthi nello Yemen, ha...
Ogni mese diventa sempre più evidente: le password non funzionano più. Gli hacker hanno imparato a eludere anche la protezione a due fattori sfruttando sessioni rubate e milioni di dati comp...
La pseudonimizzazione è una tecnica di protezione dei dati definita dall’art. 4(5) del GDPR. Consiste nella trasformazione dei dati personali in modo tale che non possano più essere a...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
