Sommario
In un’analisi recente, è emerso un nuovo gruppo di hacker, soprannominato Crypt Ghouls, che ha preso di mira aziende e agenzie governative russe con attacchi ransomware. Questo gruppo condivide molte somiglianze con altri gruppi attivi in Russia, utilizzando strumenti, tattiche e infrastrutture comuni. Tra i ransomware impiegati ci sono il noto LockBit 3.0 e Babuk. Questa campagna mostra chiaramente come gli hacker sfruttino strumenti open-source e vulnerabilità per ottenere accesso e mantenere il controllo sui sistemi delle vittime.
Accesso e persistenza
In due degli attacchi documentati, gli hacker hanno ottenuto accesso ai sistemi delle vittime tramite credenziali di login di contractor, connessi attraverso VPN. Questo metodo di accesso, noto come Trusted Relationship Attack, sta diventando sempre più comune. Per mantenere l’accesso ai sistemi compromessi, gli hacker hanno utilizzato strumenti come NSSM e Localtonet, che permettono loro di creare servizi sui dispositivi infetti e mantenere una connessione remota sicura.
Raccolta di credenziali e tecniche di movimento laterale
Uno degli strumenti principali impiegati dal gruppo è XenAllPasswordPro, usato per raccogliere dati di autenticazione dai sistemi compromessi. Le credenziali estratte sono poi utilizzate per espandere l’accesso ai sistemi aziendali. L’uso di strumenti come Mimikatz ha permesso al gruppo di estrarre le credenziali direttamente dalla memoria del processo lsass.exe, aumentando così la loro capacità di compromissione.
In alcuni casi, Crypt Ghouls ha utilizzato RDP e strumenti come CobInt, un downloader che carica backdoor nei sistemi infetti, per eseguire movimenti laterali all’interno delle reti aziendali. Inoltre, il gruppo ha utilizzato utility come PingCastle per raccogliere informazioni sulle infrastrutture di rete delle vittime.
File encryption e impatto sui sistemi
Crypt Ghouls ha utilizzato versioni pubbliche dei ransomware LockBit 3.0 per sistemi Windows e Babuk per sistemi Linux. Gli attacchi hanno mirato a criptare file critici e a lasciare una nota di riscatto contenente un collegamento per comunicare tramite la piattaforma Session, nota per la sua crittografia end-to-end. L’obiettivo finale del gruppo sembra essere sia la distruzione dei dati, sia il guadagno finanziario attraverso richieste di riscatto.
La strategia di Crypt Ghouls, analizzata da Kaspersky, si basa su strumenti e tecniche comunemente utilizzati da altri gruppi di hacktivisti attivi in Russia, rendendo difficile l’attribuzione specifica degli attacchi. Tuttavia, la condivisione di toolkit tra diversi gruppi suggerisce una collaborazione o scambio di risorse tra attori malevoli. Le vittime di questi attacchi includono agenzie governative e aziende nei settori minerario, energetico, finanziario e della vendita al dettaglio, rendendo chiaro che l’obiettivo principale è destabilizzare e ottenere vantaggi economici.
