2/7/2023
Cybersicurezza

I più grandi gruppi hacker del 2023: una panoramica sulle minacce alla cybersicurezza

La cybersicurezza è diventata una preoccupazione sempre più pressante per le aziende di tutto il mondo. Con un numero crescente di gruppi hacker altamente sofisticati, è fondamentale per le organizzazioni proteggere le proprie infrastrutture e dati critici. In questo articolo, esploreremo alcuni dei più grandi e noti gruppi hacker attualmente operativi, mettendo in luce le minacce emergenti e offrendo consigli su come affrontarle.

Ecco i principali gruppi che esamineremo:

  • LockBit
  • Electrum
  • Covellite
  • Hive
  • Lazarus Group
  • BlackBasta

LockBit

LockBit è un gruppo di cybercriminali attivo dal 2019, originario della Russia. Il gruppo ha iniziato con la versione iniziale del loro ransomware chiamata "ABCD" ed è poi passato a versioni più avanzate e sofisticate, culminando nella loro ultima incarnazione, LockBit 3.0. Durante questi anni, LockBit ha guadagnato notorietà per la sua efficacia e la sua rapida evoluzione, diventando uno dei gruppi ransomware più pericolosi in circolazione.

Modus Operandi

LockBit 3.0 utilizza una combinazione di tecniche di attacco per infiltrarsi nelle reti aziendali e crittografare i dati. Iniziano generalmente con campagne di phishing mirate, inviando email ingannevoli ai dipendenti delle organizzazioni bersaglio. Queste email contengono spesso allegati dannosi o collegamenti a siti web compromessi che, se aperti o visitati, consentono al gruppo di guadagnare l'accesso alle reti aziendali.

Una volta all'interno della rete, LockBit si muove lateralmente attraverso i sistemi, sfruttando le vulnerabilità e le debolezze nella configurazione della sicurezza. Ricerca e individua server e dispositivi di archiviazione di dati sensibili, come i server di database e i sistemi di backup.

LockBit 3.0 utilizza algoritmi di crittografia avanzati per bloccare l'accesso ai dati delle vittime. Il gruppo richiede poi un riscatto, solitamente in criptovaluta, in cambio della chiave di decrittografia necessaria per ripristinare i dati. LockBit 3.0 è noto per imporre scadenze severe per il pagamento del riscatto e minaccia di rilasciare o vendere i dati rubati se il pagamento non viene effettuato entro il termine stabilito.

Tecnologie Utilizzate

LockBit 3.0 utilizza una serie di strumenti e tecnologie per condurre i suoi attacchi. Alcune delle tecnologie più notevoli includono:

  1. Algoritmi di crittografia avanzata: LockBit 3.0 utilizza algoritmi di crittografia a chiave pubblica e simmetrica, come RSA e AES, per bloccare i dati delle vittime. Questo rende praticamente impossibile per le vittime recuperare i dati senza la chiave di decrittazione fornita dal gruppo dopo il pagamento del riscatto.
  2. Funzionalità di diffusione automatizzate: LockBit 3.0 è stato progettato per diffondersi rapidamente all'interno delle reti infette, sfruttando le vulnerabilità dei sistemi operativi e delle applicazioni per muoversi lateralmente e infettare il maggior numero possibile di dispositivi.
  3. Tecniche di evasione: LockBit 3.0 utilizza tecniche avanzate per evitare il rilevamento da parte dei sistemi di sicurezza. Ad esempio, utilizza il "fileless malware", che risiede nella memoria del sistema invece che sul disco rigido.

Electrum

Electrum è un gruppo di cybercriminali il cui obiettivo principale è attaccare la rete di portafogli di criptovalute Electrum. La loro origine geografica rimane sconosciuta, ma il gruppo ha guadagnato notorietà per il loro attacco del 2018, uno dei più grandi furti di criptovalute nella storia. Gli hacker hanno sottratto milioni di dollari in Bitcoin dagli utenti di Electrum. Da allora, il gruppo ha continuato a perfezionare le sue tecniche e a colpire altre piattaforme di criptovalute.

Modus Operandi

Il modus operandi di Electrum si basa sull'uso di server malevoli per compromettere i portafogli degli utenti e rubare fondi. Gli attacchi iniziano con la creazione di server Electrum compromessi che vengono aggiunti alla rete di portafogli Electrum. Quando un utente tenta di eseguire una transazione utilizzando il portafoglio Electrum, la transazione potrebbe essere instradata attraverso uno di questi server malevoli.

I server compromessi rifiutano la transazione dell'utente e inviano un messaggio di errore con un URL per scaricare una versione aggiornata del portafoglio. Questa versione "aggiornata" è, in realtà, un malware che, una volta installato, consente agli hacker di accedere al portafoglio dell'utente e rubare le criptovalute in esso contenute.

Tecnologie Utilizzate

Electrum utilizza diverse tecnologie e strumenti per condurre i suoi attacchi. Alcune delle tecnologie più notevoli includono:

  1. Server malevoli: Gli hacker di Electrum configurano e distribuiscono server Electrum compromessi che emulano i server legittimi della rete di portafogli Electrum. Questi server malevoli sono progettati per intercettare e manipolare le transazioni degli utenti, indirizzandoli a scaricare il malware.
  2. Phishing e ingegneria sociale: Electrum sfrutta le tecniche di phishing e ingegneria sociale per ingannare gli utenti e convincerli a scaricare il malware. Gli hacker inviano messaggi di errore ingannevoli che indirizzano gli utenti a scaricare la versione compromessa del portafoglio.
  3. Malware personalizzato: Il gruppo Electrum sviluppa e utilizza malware personalizzato per rubare le criptovalute dagli utenti. Il malware viene distribuito sotto forma di una versione "aggiornata" del portafoglio Electrum e, una volta installato, consente agli hacker di accedere al portafoglio e rubare i fondi.

Per proteggersi dagli attacchi di Electrum, gli utenti di portafogli di criptovalute dovrebbero prestare particolare attenzione ai messaggi di errore e agli avvisi ricevuti durante l'esecuzione delle transazioni. Inoltre, è importante scaricare sempre le nuove versioni del software solo dai siti ufficiali e verificare l'autenticità del software prima dell'installazione. Ecco alcuni suggerimenti aggiuntivi per proteggersi dagli attacchi di Electrum e altri gruppi simili:

  1. Utilizzare un'autenticazione a due fattori (2FA): L'aggiunta di un ulteriore livello di sicurezza, come l'autenticazione a due fattori, può ridurre significativamente il rischio di compromissione del portafoglio.
  2. Mantenere aggiornato il software: Assicurarsi di mantenere aggiornato il software del portafoglio e del sistema operativo. Gli aggiornamenti spesso includono patch di sicurezza che possono proteggere dagli attacchi degli hacker.
  3. Effettuare backup regolari: Eseguire backup regolari del portafoglio e conservare copie sicure delle chiavi private e delle frasi di recupero. In caso di compromissione del portafoglio, questi backup possono aiutare a recuperare i fondi persi.
  4. Educazione e consapevolezza: Condividere le informazioni sugli attacchi e le tecniche utilizzate dai gruppi come Electrum con gli altri utenti. La consapevolezza delle minacce e delle tattiche degli hacker può contribuire a prevenire futuri attacchi.
  5. Utilizzare portafogli hardware: I portafogli hardware, come Ledger o Trezor, offrono un ulteriore livello di sicurezza rispetto ai portafogli software, in quanto mantengono le chiavi private offline e proteggono contro gli attacchi basati su malware.
  6. Monitorare le transazioni e le attività sospette: Prestare attenzione alle transazioni e alle attività sospette sul proprio portafoglio e segnalare eventuali problemi ai fornitori di servizi di portafoglio o alle autorità competenti.

In sintesi, il gruppo Electrum è un esempio di come gli hacker possono sfruttare le vulnerabilità delle reti di portafogli di criptovalute per rubare fondi. Prestando attenzione alle tecniche di phishing e ingegneria sociale e adottando misure di sicurezza adeguate, gli utenti di portafogli di criptovalute possono proteggersi da questi attacchi e garantire la sicurezza dei propri investimenti in criptovalute.

Covellite

Covellite è un gruppo di cybercriminali noto per attaccare le infrastrutture critiche in tutto il mondo. Il gruppo è apparso per la prima volta nel 2017 e si ritiene che abbia legami con il noto gruppo di cyber-attacco Lazarus, che ha origine nella Corea del Nord. Tuttavia, Covellite sembra operare in modo indipendente e si concentra principalmente su obiettivi non correlati alla Corea del Nord.

Modus Operandi

Il modus operandi di Covellite si basa su attacchi mirati alle infrastrutture critiche, come centrali elettriche, impianti di trattamento delle acque e sistemi di controllo industriale. Gli attacchi di Covellite sono caratterizzati dalla loro natura altamente sofisticata e dall'uso di tecniche avanzate di cyber-attacco.

Covellite inizia spesso le sue campagne di attacco con spear-phishing, inviando email ingannevoli ai dipendenti delle organizzazioni bersaglio. Queste email contengono allegati dannosi o collegamenti a siti web compromessi che, se aperti o visitati, consentono al gruppo di guadagnare l'accesso alle reti aziendali.

Una volta all'interno della rete, Covellite si muove lateralmente attraverso i sistemi, sfruttando le vulnerabilità e le debolezze nella configurazione della sicurezza. Il gruppo cerca di acquisire l'accesso ai sistemi di controllo industriale e altre risorse critiche, con l'obiettivo di causare danni o interruzioni agli impianti e alle infrastrutture bersaglio.

Tecnologie Utilizzate

Covellite utilizza diverse tecnologie e strumenti per condurre i suoi attacchi. Alcune delle tecnologie più notevoli includono:

  1. Spear-phishing: Il gruppo utilizza tecniche di spear-phishing avanzate, mirate specificamente ai dipendenti delle organizzazioni bersaglio. Le email di phishing sono spesso ben redatte e sembrano provenire da fonti attendibili, rendendo difficile per le vittime riconoscere l'inganno.
  2. Malware personalizzato: Covellite sviluppa e utilizza malware personalizzato per infiltrarsi nelle reti delle vittime e acquisire l'accesso ai sistemi di controllo industriale. Questo malware è progettato per evitare il rilevamento da parte dei sistemi di sicurezza e per consentire agli attaccanti di mantenere il controllo dei sistemi compromessi.
  3. Tecniche di evasione e persistenza: Covellite impiega una serie di tecniche di evasione e persistenza per mantenere l'accesso alle reti infette e per evitare il rilevamento da parte delle soluzioni di sicurezza. Queste tecniche includono l'uso di rootkit, backdoor e comunicazioni criptate.

Per proteggere le infrastrutture critiche dagli attacchi di Covellite e gruppi simili, è fondamentale adottare misure di sicurezza adeguate, come la formazione degli utenti sul riconoscimento delle minacce di phishing, l'implementazione di soluzioni di sicurezza avanzate e la creazione di piani di risposta agli incidenti.

Ill gruppo Covellite rappresenta una minaccia significativa per le infrastrutture critiche e le organizzazioni in tutto il mondo. Prendendo in considerazione le misure di sicurezza elencate e sviluppando una strategia di difesa solida, è possibile ridurre il rischio di cadere vittima di questi sofisticati attacchi informatici.

Hive

Hive è un gruppo di cybercriminali che si concentra principalmente sui ransomware, ovvero attacchi informatici in cui i dati della vittima vengono crittografati e resi inaccessibili fino al pagamento di un riscatto. Il gruppo è apparso per la prima volta nel 2021 e ha guadagnato notorietà rapidamente per la sua attività prolifica e l'uso di tecniche avanzate. La provenienza geografica di Hive rimane incerta, ma si ritiene che il gruppo possa avere legami con l'Europa dell'Est o la Russia.

Modus Operandi

Il modus operandi di Hive si basa su attacchi ransomware altamente sofisticati e mirati, con una particolare attenzione alle organizzazioni del settore sanitario, aziendale e governativo. Gli attacchi di Hive iniziano spesso con l'invio di email di phishing o l'exploit di vulnerabilità nei sistemi di rete per ottenere l'accesso ai computer delle vittime.

Una volta all'interno della rete, Hive si muove lateralmente attraverso i sistemi, criptando i dati degli utenti e lasciando un messaggio di riscatto. Il messaggio di riscatto include dettagli su come pagare il riscatto in criptovaluta per ottenere la chiave di decrittazione necessaria per ripristinare i dati.

Tecnologie Utilizzate

Hive utilizza diverse tecnologie e strumenti per condurre i suoi attacchi. Alcune delle tecnologie più notevoli includono:

  1. Ransomware personalizzato: Hive sviluppa e utilizza un ransomware personalizzato che è progettato per crittografare rapidamente i dati delle vittime e eludere le soluzioni di sicurezza. Il ransomware di Hive è noto per la sua velocità di crittografia e la sua capacità di bloccare rapidamente i sistemi compromessi.
  2. Tecniche di phishing e ingegneria sociale: Il gruppo sfrutta le tecniche di phishing e ingegneria sociale per ingannare le vittime e guadagnare l'accesso alle loro reti. Le email di phishing sono spesso ben redatte e sembrano provenire da fonti legittime, rendendo difficile per le vittime riconoscere l'inganno.
  3. Exploit di vulnerabilità: Hive è noto per sfruttare le vulnerabilità nei sistemi di rete e nei dispositivi per ottenere l'accesso iniziale alle reti delle vittime. Gli attaccanti cercano costantemente nuove vulnerabilità da sfruttare e sono pronti a cogliere le opportunità quando queste vulnerabilità vengono scoperte.

Per proteggersi dagli attacchi di Hive e altri gruppi di ransomware simili, è essenziale adottare misure di sicurezza appropriate, come la formazione degli utenti sul riconoscimento delle minacce di phishing, l'implementazione di soluzioni di sicurezza avanzate e la creazione di piani di risposta agli incidenti.

In sintesi, il gruppo Hive rappresenta una minaccia significativa per le organizzazioni di tutto il mondo a causa della sua attività ransomware aggressiva e delle tecniche sofisticate utilizzate. Adottando le misure di sicurezza elencate e sviluppando una strategia di difesa solida, è possibile ridurre il rischio di cadere vittima di questi pericolosi attacchi informatici.

Lazarus Group

Il Lazarus Group, noto anche come Hidden Cobra, è un gruppo di cybercriminali attivo fin dal 2009 e si ritiene abbia legami con la Corea del Nord. Il gruppo è noto per una serie di attacchi ad alto profilo, tra cui il famoso attacco informatico alla Sony Pictures Entertainment nel 2014 e il tentativo di furto di 1 miliardo di dollari dalla Banca Centrale del Bangladesh nel 2016.

Modus Operandi

Il modus operandi del Lazarus Group è molto ampio e variegato, e comprende attacchi informatici su larga scala, spionaggio informatico, furto di dati, attacchi ransomware e operazioni finanziarie fraudolente. Il gruppo è noto per la sua capacità di adattarsi rapidamente e cambiare tattiche per eludere la sicurezza e raggiungere i suoi obiettivi.

Il Lazarus Group mira principalmente a organizzazioni governative, infrastrutture critiche, istituzioni finanziarie e aziende di alto profilo in tutto il mondo. Gli attacchi sono spesso condotti per scopi di spionaggio, sabotaggio o guadagno finanziario.

Tecnologie Utilizzate

Il Lazarus Group utilizza una vasta gamma di tecnologie e strumenti per condurre i suoi attacchi. Alcune delle tecnologie più notevoli includono:

  1. Malware personalizzato: Il gruppo sviluppa e utilizza malware personalizzato per infiltrarsi nelle reti delle vittime, esfiltrare dati, danneggiare sistemi e lanciare attacchi ransomware. Alcuni esempi di malware associati al Lazarus Group includono WannaCry, Destover e Brambul.
  2. Tecniche di spear-phishing e ingegneria sociale: Il Lazarus Group utilizza attivamente email di spear-phishing e tecniche di ingegneria sociale per ingannare le vittime e ottenere l'accesso alle loro reti. Queste email sono spesso ben redatte e sembrano provenire da fonti legittime, rendendo difficile per le vittime riconoscere l'inganno.
  3. Sfruttamento delle vulnerabilità: Il gruppo sfrutta le vulnerabilità nei sistemi di rete, nei dispositivi e nelle applicazioni per ottenere l'accesso iniziale alle reti delle vittime. Gli attaccanti cercano costantemente nuove vulnerabilità da sfruttare e sono pronti a cogliere le opportunità quando queste vulnerabilità vengono scoperte.
  4. Movimento laterale e tecniche di persistenza: Una volta all'interno della rete, il Lazarus Group utilizza tecniche di movimento laterale e persistenza per mantenere l'accesso e spostarsi attraverso i sistemi compromessi. Questo include l'uso di strumenti di amministrazione remota e tecniche di pass-the-hash per ottenere l'accesso a ulteriori sistemi e risorse all'interno della rete.

In sintesi, il Lazarus Group è un attore di minacce estremamente sofisticato e pericoloso, con una lunga storia di attacchi ad alto profilo e una vasta gamma di tecniche e strumenti utilizzati per raggiungere i suoi obiettivi. Le organizzazioni di tutto il mondo devono essere consapevoli di questa minaccia e implementare misure di sicurezza adeguate per proteggersi dagli attacchi del gruppo.

Le vittime potenziali devono monitorare attentamente le nuove campagne e le tecniche utilizzate dal Lazarus Group, poiché è probabile che il gruppo continui a evolvere e adattarsi alle difese delle organizzazioni. È importante adottare un approccio proattivo per identificare e mitigare le minacce associate a questo gruppo, compresa l'implementazione di strumenti di sicurezza avanzati, l'addestramento degli utenti e la collaborazione con altri attori della sicurezza per condividere informazioni e risorse.

BlackBasta

BlackBasta è un gruppo di cybercriminali che si concentra principalmente sugli attacchi ransomware. Il gruppo è emerso intorno al 2021 e ha guadagnato notorietà rapidamente per la sua attività aggressiva e l'uso di tecniche avanzate. La provenienza geografica di BlackBasta non è ancora chiara, ma si ritiene che il gruppo possa avere legami con l'Europa dell'Est o la Russia.

Modus Operandi

BlackBasta si concentra principalmente sugli attacchi ransomware mirati, colpendo organizzazioni in settori diversi, tra cui sanitario, governativo, industriale e finanziario. Gli attacchi di BlackBasta iniziano spesso con l'invio di email di phishing o l'exploit di vulnerabilità nei sistemi di rete per ottenere l'accesso ai computer delle vittime.

Una volta all'interno della rete, BlackBasta si muove lateralmente attraverso i sistemi, criptando i dati degli utenti e lasciando un messaggio di riscatto. Il messaggio di riscatto include dettagli su come pagare il riscatto in criptovaluta per ottenere la chiave di decrittazione necessaria per ripristinare i dati.

Tecnologie Utilizzate

BlackBasta utilizza diverse tecnologie e strumenti per condurre i suoi attacchi. Alcune delle tecnologie più notevoli includono:

  1. Ransomware personalizzato: BlackBasta sviluppa e utilizza un ransomware personalizzato, progettato per crittografare rapidamente i dati delle vittime e eludere le soluzioni di sicurezza. Il ransomware di BlackBasta è noto per la sua velocità di crittografia e la sua capacità di bloccare rapidamente i sistemi compromessi.
  2. Tecniche di phishing e ingegneria sociale: Il gruppo sfrutta le tecniche di phishing e ingegneria sociale per ingannare le vittime e guadagnare l'accesso alle loro reti. Le email di phishing sono spesso ben redatte e sembrano provenire da fonti legittime, rendendo difficile per le vittime riconoscere l'inganno.
  3. Exploit di vulnerabilità: BlackBasta è noto per sfruttare le vulnerabilità nei sistemi di rete e nei dispositivi per ottenere l'accesso iniziale alle reti delle vittime. Gli attaccanti cercano costantemente nuove vulnerabilità da sfruttare e sono pronti a cogliere le opportunità quando queste vulnerabilità vengono scoperte.

BlackBasta è un gruppo di cybercriminali altamente pericoloso e attivo, con un'enfasi sugli attacchi ransomware mirati. Le organizzazioni di tutto il mondo devono essere consapevoli di questa minaccia e implementare misure di sicurezza adeguate per proteggersi dagli attacchi del gruppo.

23/4/2024
Il nuovo paradigma del lavoro remoto: garantire la sicurezza dei dati aziendali in un'epoca di crescente flessibilità lavorativa

Il lavoro, oggi più che mai, è sempre più ibrido: a partire dal periodo pandemico, il mercato del lavoro si è trasformato notevolmente, tanto che circa il 70% dei lavoratori dipendenti alivello globale mostra interesse per una forma organizzativa più flessibile del proprio impiego. Tuttavia, questo passaggio al lavoro da remoto comporta una serie di sfide, in particolare nel campo della sicurezza informatica.

23/2/2024
Malware: cosa sono e come difendersi

Nell'era digitale in cui viviamo, la presenza di malware rappresenta una minaccia costante per la sicurezza dei dispositivi e delle reti. Questi software dannosi, progettati per infiltrarsi e danneggiare i sistemi informatici, possono causare gravi danni agli utenti sia a livello personale che aziendale.

19/1/2024
Cybersicurezza: le previsioni per il 2024 di Trend Micro

La cybersecurity è ormai fondamentale in un mondo sempre più tecnologico, iperconnessoe in continua evoluzione; è importante, dunque, stare al passo con le nuove tendenze per sapere come tutelarsi al meglio. Trend Micro ha pubblicato le previsioni sulla sicurezza per il 2023, che prendono in esame l’intero panorama della cybersicurezza.

Stiamo assumendo!

Da oltre 25 anni, S&NT è partner di  organizzazioni industriali, commerciali e pubbliche di ogni dimensione, e offre soluzioni informatiche evolute che rendono le aziende connesse, sicure ed efficienti