Da qualche anno alcuni cybercriminali offrono un particolare servizio ai loro colleghi in cambio di un compenso a tre zeri. Si tratta dei cosiddetti IAB (Initial Access Broker) che scoprono le vulnerabilità dei software da sfruttare per eseguire un attacco ransomware. Uno di essi è Exotic Lily che, secondo il Threat Analysis Group (TAG) di Google, svolge il ruolo di intermediario per criminali informatici russi, tra Wizard Spider (noto per TrickBot, Ryuk e Conti).
Exotic Lily: 5.000 email di phishing al giorno
Il gruppo Exotic Lily è stato scoperto dal TAG di Google a settembre 2021, quando ha eseguito attacchi sfruttando la vulnerabilità zero-day di Microsoft MSHTML (CVE-2021-40444), il motore di rendering di Internet Explorer usato nei documenti di Office. I cybercriminali effettuano l’accesso alle reti aziendali (successivamente venduto agli autori dell’attacco ransomware) attraverso campagne di spear phishing.
Dopo aver registrato un dominio simile a quello di note aziende e creato finte identità su siti e social media, la gang invia email alle ignare vittime con il pretesto di una partnership commerciale. Viene quindi inviato un link ad un archivio ISO caricato su noti servizi di file sharing, come TransferNow, TransferXL, WeTransfer e OneDrive. L’archivio contiene il malware BazarLoader che scarica sul computer il malware Bumblebee. Quest’ultimo raccoglie varie informazioni sul sistema che vengono inviate ad un server remoto, dal quale viene poi prelevato il noto Cobalt Strike.
In base ai dati di Google, Exotic Lily invia circa 5.000 email di phishing al giorno ad almeno 650 aziende nel mondo. Il gruppo opera come entità separata, ma collabora con i cybercriminali russi di Wizard Spider, fornendo il “punto di ingresso” alle reti aziendali che in seguito saranno il bersaglio degli attacchi ransomware.
Ti potrebbe interessare
18 mar 2022