Sophos, leader globale nella cybersecurity di nuova generazione, ha annunciato oggi nel whitepaper Sophos X-Ops Active Adversary, “Multiple Attackers: A Clear and Present Danger”, che Hive, LockBit e BlackCat, tre importanti bande di ransomware, hanno attaccato consecutivamente la stessa rete. I primi due attacchi sono avvenuti nel giro di due ore, mentre il terzo è avvenuto due settimane dopo. Ogni banda di ransomware ha lasciato una propria richiesta di riscatto e alcuni file sono stati triplicati.

“È già abbastanza grave ricevere una nota di ransomware, figuriamoci tre”, ha dichiarato John Shier, senior security advisor di Sophos. “Gli attacchi multipli creano un nuovo livello di complessità per il recupero, in particolare quando i file di rete sono criptati tre volte”. Una sicurezza informatica che comprenda prevenzione, rilevamento e risposta è fondamentale per le organizzazioni di qualsiasi tipo e dimensione, e nessuna azienda ne è immune”.

Il whitepaper illustra inoltre altri casi di sovrapposizione di attacchi informatici, tra cui cryptominer, trojan di accesso remoto (RAT) e bot. In passato, quando più aggressori hanno preso di mira lo stesso sistema, gli attacchi si sono solitamente verificati nell’arco di molti mesi o anni. Gli attacchi descritti nel whitepaper di Sophos sono avvenuti a pochi giorni o settimane di distanza l’uno dall’altro – in un caso, contemporaneamente – spesso con i diversi aggressori che accedevano alla rete dell’obiettivo attraverso lo stesso punto di ingresso vulnerabile.

In genere, i gruppi criminali competono per le risorse, rendendo più difficile per più aggressori operare simultaneamente. I cryptominer normalmente uccidono i loro concorrenti sullo stesso sistema e i RAT odierni spesso evidenziano l’uccisione dei bot come una caratteristica dei forum criminali. Tuttavia, nell’attacco che ha coinvolto i tre gruppi di ransomware, ad esempio, BlackCat – l’ultimo gruppo di ransomware presente sul sistema – non solo ha cancellato le tracce della propria attività, ma ha anche cancellato l’attività di LockBit e Hive. In un altro caso, un sistema è stato infettato dal ransomware LockBit. Poi, circa tre mesi dopo, i membri del Karakurt Team, un gruppo con legami dichiarati con Conti, sono stati in grado di sfruttare la backdoor creata da LockBit per rubare i dati e chiederne il riscatto.

“Nel complesso, i gruppi di ransomware non sembrano apertamente antagonisti tra loro. In effetti, LockBit non vieta esplicitamente agli affiliati di lavorare con i concorrenti, come indicato nel whitepaper di Sophos”, ha dichiarato Shier. “Non abbiamo prove di collaborazione, ma è possibile che questo sia dovuto al fatto che gli aggressori riconoscono che c’è un numero limitato di ‘risorse’ in un mercato sempre più competitivo. Oppure, forse ritengono che più pressione viene esercitata su un obiettivo, cioè più attacchi, più è probabile che le vittime paghino. Forse stanno discutendo ad alto livello, concordando accordi reciprocamente vantaggiosi, ad esempio, in cui un gruppo cripta i dati e l’altro li esfiltra. A un certo punto, questi gruppi dovranno decidere cosa pensano della cooperazione – se abbracciarla ulteriormente o diventare più competitivi – ma, per ora, il campo di gioco è aperto per attacchi multipli da parte di gruppi diversi”.

La maggior parte delle infezioni iniziali per gli attacchi evidenziati nel whitepaper si è verificata attraverso una vulnerabilità non patchata, tra cui le più importanti sono Log4Shell, ProxyLogon e ProxyShell, o server Remote Desktop Protocol (RDP) mal configurati e non protetti. Nella maggior parte dei casi che coinvolgono più aggressori, le vittime non sono riuscite a porre rimedio all’attacco iniziale in modo efficace, lasciando la porta aperta a future attività criminali informatiche. In questi casi, le stesse configurazioni errate di RDP e le applicazioni come RDWeb o AnyDesk sono diventate un percorso facilmente sfruttabile per gli attacchi successivi. In effetti, i server RDP e VPN esposti sono alcuni degli annunci più popolari venduti sul dark web.

“Come si legge nell’ultimo Active Adversary Playbook, nel 2021 Sophos ha iniziato a vedere organizzazioni vittime di più attacchi simultanei e ha indicato che questa potrebbe essere una tendenza in crescita”, ha dichiarato Shier. “Sebbene l’aumento degli attacchi multipli sia ancora basato su prove aneddotiche, la disponibilità di sistemi sfruttabili offre ai criminali informatici ampie opportunità di continuare a muoversi in questa direzione”.