Jumpy Pisces sta collaborando col gruppo ransomware Play

Facebook
WhatsApp
Twitter
LinkedIn
Telegram


Jumpy Pisces sta collaborando col gruppo ransomware Play


Il team di Unit 42 di Palo Alto Networks ha scoperto che il gruppo ransomware nord-coreano Jumpy Pisces ha cominciato a collaborare con il gruppo Play, fornitore di ransomware-as-a-service.

Si tratta di un cambiamento significativo delle attività del gruppo: è la prima volta che questi cybercriminali usano un’infrastruttura esistente per i loro attacchi, un potenziale segno della volontà di ampliare i propri confini d’azione.

Autore di crimini finanziari e campagne di cyberspionaggio dal 2022, il gruppo avrebbe cominciato a usare il ransomware di Play dallo scorso settembre; in particolare, a usare il servizio sarebbe Fiddling Scorpius, un sottogruppo del team principale.

La campagna è cominciata a maggio 2024: dopo aver sfruttato un account compromesso per l’accesso alla rete della vittima, il gruppo ha utilizzato Sliver, un tool open-source, e DTrack, un malware custom sviluppato dallo stesso team, per mantenere la persistenza. Questi strumenti hanno comunicato col server degli attaccanti per diversi mesi, fino a quando, a settembre, è cominciato l’attacco con il ransomware di Play.

Credits: Palo Alto Networks

Oltre a Sliver e Dtrack, gli attaccanti hanno usato un tool dedicato per creare un account con privilegi elevati sui dispositivi delle vittime e una versione personalizzata di Mimikatz per il dump delle credenziali. Infine, Fiddling Scorpius avrebbe usato anche un malware per sottrarre la cronologia di Chrome, Edge e Brave.

Ci sono diversi motivi per cui i ricercatori ritengono che Jumpy Pisces sia effettivamente legato a Play: in primo luogo, l’account compromesso usato per l’accesso iniziale era già stato usato in altre campagne del ransomware; inoltre, ci sono numerose somiglianze tra le tattiche e le tecniche usate dai due gruppi.

Al momento non è chiaro se Jumpy Pisces è diventato un affiliato ufficiale di Play o se si è limitato a vendere l’accesso iniziale alle reti al gruppo. “In ogni caso, questo incidente di sicurezza è significativo perché segna la prima collaborazione registrata tra Jumpy Pisces, gruppo nord-coreano appoggiato dal governo, e una rete di ransomware clandestina” affermano i ricercatori. Il timore è che questo tipo di collaborazione diventi un vero e proprio trend in cui i gruppi nord-coreani parteciperanno a campagne ransomware sempre più ampie, con conseguenze estese globalmente.



Altro in questa categoria






Source link

Visite totale 3 , 1 visite oggi

Continua a leggere

in rilascio per tanti nuovi utenti

IT-Wallet corre veloce e anticipa quanto previsto dalla tabella di marcia e oggi apre a migliaia di nuovi utenti tramite l’app IO:

Scorri verso l'alto