▾ G11 Media: | ChannelCity | ImpresaCity | SecurityOpenLab | Italian Channel Awards | Italian Project Awards | Italian Security Awards | ...

Octo Tempest, RansomHub e Qilin: le minacce ransomware si evolvono

Una continua evoluzione delle tattiche, tecniche e procedure messe in atto dai gruppi ransomware impone la necessità di proteggere al meglio le credenziali.

Tecnologie/Scenari

Microsoft ha diffuso tramite X una serie di aggiornamenti riguardanti i nuovi gruppi ransomware che mostrano una pericolosa evoluzione delle tattiche e degli strumenti messi in campo nel corso degli attacchi. Fra le new entry hanno particolare peso Octo Tempest, RansomHub e Qilin.

Octo Tempest

Octo Tempest identifica un gruppo di threat actor famoso per le tecniche sofisticate di ingegneria sociale, compromissione delle identità e persistenza all'interno delle reti compromesse. È in circolazione almeno dal 2022 e il suo focus principale sono i server VMWare ESXi, su cui ha già dimostrato la propria efficacia tramite il deployment del ransomware BlackCat. La novità è che nel secondo trimestre del 2024 Octo Tempest (aka Scattered Spider), ha aggiunto RansomHub e Qilin al proprio arsenale di ransomware.

Il gruppo ha rapidamente guadagnato notorietà grazie agli attacchi contro Caesars Palace e MGM Entertainment. Fra le tattiche a loro riconducibili ci sono l'uso di strumenti di accesso remoto, il phishing, l’MFA bombing e il SIM swapping, tutti mirati a ingannare le ptoenziali vittime e ottenere le loro credenziali aziendali di accesso. Questa abilità nel manipolare gli utenti e compromettere le reti rende Octo Tempest un avversario particolarmente insidioso.


RansomHub e Qilin

RansomHub è una piattaforma RaaS che sta guadagnando popolarità tra i cybercriminali, come dimostrano anche i dati pubblicati di recente da Check Point Research, che a giugno 2024 lo ha classificato come il gruppo di ransomware più diffuso. È stato impiegato in attività post-compromissione da parte di gruppi come Manatee Tempest, che sfruttano l'accesso iniziale ottenuto proprio tramite infezioni FakeUpdates.

Qilin, invece, è in circolazione dal 2022 e ha già preso di mira oltre 130 aziende, con richieste di riscatto anche milionarie. A Qilin è legato il recente attacco che ha paralizzato i principali nosocomi londinesi. Secondo Microsoft, Qilin sta sviluppando un encryptor personalizzabile per Linux, specificamente progettato per attaccare i server VMware ESXi, aumentando così la sua pericolosità e flessibilità nelle operazioni di attacco.

Oltre a quelli citati, Microsoft ha identificato altre famiglie di ransomware che hanno rivestito un ruolo significativo nel corso del trimestre, tra cui BlackSuit, LockBit, Medusa, Black Basta e Play. Un'altra minaccia emergente è il ransomware Fog, osservato per la prima volta a maggio in campagne condotte da un threat actor noto come Storm-0844 e celebre per la distribuzione di Akira. Storm-0844 utilizza client VPN per ottenere l'accesso iniziale e strumenti open-source come ADFind, Rubeus e Advanced IP Scanner per i movimenti laterali.

Un ulteriore sviluppo riguarda FakePenny, un nuovo ransomware distribuito dal threat actor nordcoreano Moonstone Sleet, che utilizza un'ampia gamma di tattiche, inclusa un'applicazione di gioco dannosa.

Tattiche e tecniche in evoluzione

I gruppi ransomware stanno continuando a sfruttare strumenti di gestione e monitoraggio remoto per perpetrare i loro attacchi. Per esempio, il gruppo noto come Storm-1811 ha abusato di Quick Assist (un'applicazione che consente a un utente di condividere il proprio dispositivo Windows o macOS con un'altra persona tramite una connessione remota) in attacchi di social engineering seguiti dalla distribuzione di strumenti malevoli e culminati con l'uso del ransomware Black Basta.

Un altro threat actor monitorato con la sigla Storm-0501 ha adottato tecniche simili a quelle di Octo Tempest, utilizzando tool open-source come AADInternals per facilitare le fasi successive degli attacchi, che hanno visto come epilogo l'uso del ransomware Embargo.

In un contesto di questo tipo, gli esperti esortano a prestare la massima cura alla protezione delle credenziali di accesso, adottando il principio del privilegio minimo e adottando un approccio Zero Trust.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato
Iscriviti alla nostra Newsletter Gratuita. Iscriviti
GoogleNews Rimani sempre aggiornato, seguici su Google News! Seguici

Notizie correlate

Speciali Tutti gli speciali

Speciale

Speciale iperautomazione

Speciale

Speciale Backup e Resilienza 2025

Speciale

Speciale OT Security

Speciale

2025 obiettivo cybersecurity

Speciale

Previsioni per la cybersecurity del 2025

Calendario Tutto

Lug 08
Webinar Lexmark | XC9525: il nuovo standard della stampa professionale
Lug 08
Evento V-Valley Pure Storage 2025
Lug 08
Sales & Technical session Copilot for 365 – Italia Cloud Champion
Lug 08
Webinar: Scopri le Novità di Nutanix .NEXT 2025
Lug 09
Dell Technologies - Tech Rally Server: Workshop storage Hyperconverged
Lug 09
Forcepoint NGFW Multi-Layer Protection in Action
Lug 09
Creatività ed efficienza con Adobe: più veloci, più connessi, più creativi con le ultime novità al servizio dei team creativi
Lug 10
Azure Special Club
Lug 10
Bootcamp WatchGuard - Sicurezza senza compromessi: Scopri WatchGuard Endpoint Security

Ultime notizie Tutto

La rivoluzione quantistica nella cybersecurity: sfide e soluzioni

La rivoluzione del quantum computing mette a rischio la crittografia attuale: Umberto Pirovano di Palo Alto Networks spiega rischi, tempistiche e soluzioni post-quantum.

07-07-2025

SentinelOne premia i partner top performer in EMEA

Nel corso del PartnerOne Summit 2025 il vendor di cybersecurity premia i contributi di eccellenza all'innovazione nelle soluzioni di sicurezza dei propri partner

07-07-2025

Scattered Spider punta su attacchi a catena via fornitori BPO e call center

Noto gruppo criminale sfrutta la compromissione di fornitori BPO e call center per colpire più vittime in settori chiave. Facciamo il punto sulle nuove tattiche.

04-07-2025

Escalation di privilegi su Linux per due falle critiche

Scoperte due vulnerabilità concatenate che permettono a un attaccante locale di ottenere privilegi root su Linux. Disponibili le patch e i consigli di mitigazione.

04-07-2025

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

www.securityopenlab.it - 8.3.21 - 4.6.1