Microsoft ha tracciato le attività di un gruppo, denominato Octo Tempest, che ha colpito diverse aziende con l’obiettivo di estorcere denaro. I cybercriminali, affiliati al gruppo BlackCat (ALPHV), sfruttano varie tecniche per accedere alle reti e installare i malware. L’azienda di Redmond fornisce alcuni suggerimenti per identificare e bloccare gli attacchi.
Phishing, SIM swapping e ransomware
Octo Tempest usa principalmente l’ingegneria sociale per ottenere le credenziali di accesso agli account aziendali. Dopo aver contattato un dipendente, soprattutto gli amministratori IT, i cybercriminali chiedono il cambio delle password o installano un tool di accesso remoto. In altri casi hanno acquistato le credenziali nel dark web, inviato via SMS un link ad un sito di phishing o effettuato un attacco di SIM swapping.
Dopo aver ottenuto l’accesso, Octo Tempest inizia a raccogliere informazioni sulle risorse aziendali (utenti, gruppi, dispositivi, architettura della rete, sistemi di backup, repository di codice, ambienti cloud, server e altre). Usando vari tool viene quindi effettuava una escalation di privilegi per ottenere permessi di amministratore.
Per aggirare le protezioni vengono disattivate le soluzioni di sicurezza e bloccato l’invio di notifiche relative alle modifiche. Per mantenere la persistenza vengono invece manipolati gli account esistenti o installate backdoor. L’ultimo step prevede il furto dei dati la doppia estorsione, ovvero l’installazione di un ransomware (BlackCat) e la richiesta di un riscatto per evitare la divulgazione delle informazioni. In alcuni casi avviene anche il furto delle criptovalute.
Ti potrebbe interessare
29 ott 2023