Jumpy Pisces sta collaborando col gruppo ransomware Play
Il team di Unit 42 di Palo Alto Networks ha scoperto che il gruppo ransomware nord-coreano Jumpy Pisces ha cominciato a collaborare con il gruppo Play, fornitore di ransomware-as-a-service.
Si tratta di un cambiamento significativo delle attività del gruppo: è la prima volta che questi cybercriminali usano un’infrastruttura esistente per i loro attacchi, un potenziale segno della volontà di ampliare i propri confini d’azione.
Autore di crimini finanziari e campagne di cyberspionaggio dal 2022, il gruppo avrebbe cominciato a usare il ransomware di Play dallo scorso settembre; in particolare, a usare il servizio sarebbe Fiddling Scorpius, un sottogruppo del team principale.
La campagna è cominciata a maggio 2024: dopo aver sfruttato un account compromesso per l’accesso alla rete della vittima, il gruppo ha utilizzato Sliver, un tool open-source, e DTrack, un malware custom sviluppato dallo stesso team, per mantenere la persistenza. Questi strumenti hanno comunicato col server degli attaccanti per diversi mesi, fino a quando, a settembre, è cominciato l’attacco con il ransomware di Play.
Credits: Palo Alto Networks
Oltre a Sliver e Dtrack, gli attaccanti hanno usato un tool dedicato per creare un account con privilegi elevati sui dispositivi delle vittime e una versione personalizzata di Mimikatz per il dump delle credenziali. Infine, Fiddling Scorpius avrebbe usato anche un malware per sottrarre la cronologia di Chrome, Edge e Brave.
Ci sono diversi motivi per cui i ricercatori ritengono che Jumpy Pisces sia effettivamente legato a Play: in primo luogo, l’account compromesso usato per l’accesso iniziale era già stato usato in altre campagne del ransomware; inoltre, ci sono numerose somiglianze tra le tattiche e le tecniche usate dai due gruppi.
Al momento non è chiaro se Jumpy Pisces è diventato un affiliato ufficiale di Play o se si è limitato a vendere l’accesso iniziale alle reti al gruppo. “In ogni caso, questo incidente di sicurezza è significativo perché segna la prima collaborazione registrata tra Jumpy Pisces, gruppo nord-coreano appoggiato dal governo, e una rete di ransomware clandestina” affermano i ricercatori. Il timore è che questo tipo di collaborazione diventi un vero e proprio trend in cui i gruppi nord-coreani parteciperanno a campagne ransomware sempre più ampie, con conseguenze estese globalmente.
Altro in questa categoria
