Il famigerato gruppo di criminali informatici noto come Scattered Spider ha incorporato varianti di ransomware come RansomHub e Qilin nel suo arsenale di malware, ha rivelato Microsoft.
Scattered Spider è la designazione che è stata data ad un noto gruppo di criminali informatici per i suoi schemi sofisticati di ingegneria sociale per violare obiettivi e stabilire persistenza per successive esplorazioni e furti di dati ed ha anche una storia di attacchi ai server VMWare ESXi e di distribuzione del ransomware BlackCat.
Condivide somiglianze con cluster di attività monitorati dalla comunità di cybersecurity più ampia sotto i nomi di 0ktapus, Octo Tempest e UNC3944 e il mese scorso, è stato riferito che un membro chiave del gruppo è stato arrestato in Spagna.
RansomHub: quando è saltato fuori e quanto Scattered Spider ha iniziato ad usarlo
RansomHub, apparso sulla scena lo scorso febbraio, è stato valutato come un rebranding di un’altra variante di ransomware chiamata Knight, secondo un’analisi di Symantec, di proprietà di Broadcom, del mese scorso.
“RansomHub è un payload ransomware-as-a-service (RaaS) utilizzato da un numero sempre maggiore di criminali informatici, inclusi quelli che storicamente hanno utilizzato altri payload di ransomware (a volte dismessi) (come BlackCat), rendendolo una delle famiglie di ransomware più diffuse oggi“, ha dichiarato Microsoft riguardo RansomHub sul sito X.com (precedentemente noto come “Twitter”).
Il produttore di Microsoft Windows ha detto di aver osservato anche l’uso di RansomHub come parte delle attività post-compromissione da parte di Manatee Tempest (noto anche come DEV-0243, Evil Corp o Indrik Spider) dopo l’accesso iniziale ottenuto da Mustard Tempest (noto anche come DEV-0206 o Purple Vallhund) attraverso infezioni di FakeUpdates (noto anche come Socgholish).
Vale la pena menzionare che Mustard Tempest è un broker di accesso iniziale che, in passato, ha utilizzato FakeUpdates in attacchi che hanno portato ad azioni simili a comportamenti pre-ransomware associati a Evil Corp e che queste intrusioni sono state anche notevoli per il fatto che FakeUpdates è stato distribuito tramite infezioni esistenti di Raspberry Robin.
RansomHub e Qilin si nascondono bene: attenzione ai PDF fasulli
Lo sviluppo arriva in mezzo all’emergere di nuove famiglie di ransomware come FakePenny (attribuito a Moonstone Sleet), Fog (distribuito da Storm-0844, che ha anche propagato il noto ransomware Akira) e ShadowRoot, l’ultimo dei quali è stato osservato attaccare aziende turche utilizzando falsi PDF di fatture.
“Poiché la minaccia del ransomware continua ad aumentare, espandersi ed evolversi, agli utenti e alle organizzazioni è consigliato di seguire le migliori pratiche di sicurezza, in particolare l’igiene delle credenziali, il principio del privilegio minimo e il modello Zero Trust“, ha dichiarato Microsoft.
Difendersi da Ransomware come RansomHub e Qilin
Molto spesso si vede l’effetto dei ransomware solo quando il danno è già fatto, per questo bisognerebbe fare (manco a dirlo…), quella cosa che è sempre raccomandata più o meno ovunque ma nessuno fa mai: il backup.
Infatti, fare il backup permette di avere indietro i dati così come sono anche una volta che il danno è stato compiuto, questo qualora la protezione in tempo reale non dovesse funzionare.
Tra le altre cose, va detto che per difendersi da attacchi come Qilin o RansomHub, è essenziale implementare misure di sicurezza robuste; queste includono l’aggiornamento regolare del software, l’uso di autentificazione multifattoriale (MFA), il monitoraggio continuo delle reti per attività sospette e la formazione del personale sulle tecniche di phishing e ingegneria sociale, quindi non bisognerebbe fare nemmeno quella cosa che molti fanno senza pensarci: cliccare su link palesemente ingannevoli.
Purtroppo (ed è brutto da dire), se ci fosse più attenzione verso quel che si fa con PC e telefoni, questi problemi non esisterebbero (o sarebbero molto inferiori rispetto a quanto si è abituati a sentire).
