Weekly threats N.22

05 Giugno 2023

Rassegna delle notizie raccolte quotidianamente dal CIOC di TS-WAY per il piano BASIC di TS-Intelligence.

In sintesi:

Ransomware: tracciate nuove minacce e offensive
Italia: attacchi colpiscono il Paese
State-sponsored: registrate attività dalla Cina e in Medio Oriente

Il panorama cybercrime si evolve costantemente, operatori ransomware inediti continuano a emergere rivendicando nuove offensive sui propri siti dei leak. Nelle ultime settimane sono state individuate 3 famiglie ransomware, denominate rispettivamente Rhysida, MalasLocker e 8BASE, le quali hanno colpito più di 200 target in tutto il mondo, oltre a CryptNet, pubblicizzato nei forum underground almeno dall’aprile 2023, il quale utilizza la stessa base di codice dei ransomware Chaos e Yashma. D’altra parte, analisti hanno osservato l’operazione denominata Buhti – attribuita a un gruppo soprannominato Blacktail – rinunciare a sviluppare un proprio payload e utilizzare invece varianti trapelate di LockBit e Babuk per attaccare sistemi Windows e Linux. I nuovi attacchi hanno visto tra i target anche l’Italia. In particolare, 8BASE ha rivendicato sul proprio canale Telegram la compromissione dell’italiana IRINOX S.p.A., azienda specializzata nella produzione di abbattitori rapidi di temperatura e di sistemi di conservazione; mentre Monti Team ha annunciato la violazione di Omnia Servizi (Omnia S.r.l.), studio di consulenza e servizi aziendali.

Passando al panorama state-sponsored, è stata recentemente osservata una campagna in corso attribuita al gruppo cinese Sharp Panda e rivolta contro funzionari governativi di alto livello delle Nazioni del forum di cooperazione economica e finanziaria internazionale G20, in particolare dei Paesi del Sudest Asiatico, ma anche in Europa, Nord America e Asia meridionale. Inoltre, secondo quanto riferito da una nota agenzia di stampa britannica, a partire dal 2019 l’APT di Pechino Mirage avrebbe condotto diverse offensive che hanno preso di mira ministeri e istituzioni statali chiave del Governo kenyota, probabilmente al fine di ottenere informazioni sul debito esistente tra la Nazione africana e la Repubblica Popolare Cinese. Sempre di matrice cinese, all’avversario Dark Pink sono stati attribuiti inediti strumenti, meccanismi di esfiltrazione e TTP, oltre a 5 nuove vittime, alcune delle quali operanti in settori e territori che non erano mai stati targettizzati prima. Infine, spostandoci in Medio Oriente, all’inizio di febbraio 2023 è stato tracciato un Windows kernel driver malevolo chiamato WinTapix (WinTapix.sys) presumibilmente sviluppato da un avversario iraniano – al momento non identificato – e utilizzato in attacchi mirati contro diversi Paesi del Medio Oriente.

8BASE Babuk Blacktail Buhti Chaos CryptNet Dark Pink LockBit MalasLocker Mirage Monti Team Rhysida Sharp Panda WinTapix Yashma

Contenuti correlati

Fermato LockBit, individuato un presunto leak legato a Pechino e attività APT inedite, nuove offensive in Italia

Weekly threats N.35

Weekly threats N.25