Il gruppo ransomware RansomHub è l'operazione più attiva del 2024

Il gruppo ransomware RansomHub ha colpito oltre 600 organizzazioni in tutto il mondo, rendendolo l'operazione ransomware più attiva del 2024, secondo Group-IB. Sfrutta vulnerabilità ora risolte in Microsoft Active Directory e Netlogon per ottenere l’accesso ai controller di dominio e diffondersi nelle reti.

Emerso a febbraio 2024, RansomHub ha acquisito il codice sorgente del defunto gruppo ransomware Knight e ha ampliato le sue capacità, con varianti in grado di criptare sistemi Windows, VMware ESXi e server SFTP. Inoltre, recluta affiliati da LockBit e BlackCat per rafforzare le operazioni.

Un recente attacco ha visto RansomHub usare un attacco brute-force su una VPN, sfruttando 5.000 credenziali, prima di compromettere Active Directory e Netlogon. I dati sono stati criptati ed esfiltrati entro 24 ore.

Il ransomware sta passando a modelli basati sull'estorsione, con gruppi come RansomHub e Akira che monetizzano i dati rubati anziché solo la crittografia, poiché sempre più vittime rifiutano di pagare riscatti.

NailaoLocker ransomware prende di mira la sanità europea in attacchi di cyber-spionaggio

Una nuova variante di ransomware, NailaoLocker, è stata rilevata tra giugno e ottobre 2024, prendendo di mira organizzazioni sanitarie europee. Gli attaccanti hanno sfruttato la vulnerabilità CVE-2024-24919 di Check Point Security Gateway per violare le reti e distribuire i malware ShadowPad e PlugX, associati a gruppi di cyber-spionaggio sostenuti dallo Stato cinese.

Caratteristiche principali:

• Ransomware primitivo, privo di funzionalità anti-debugging ed evasione sandbox.
• Utilizza AES-256-CTR per crittografare i file, aggiungendo l'estensione “.locked”.
• Lascia una nota di riscatto con un nome insolitamente lungo, indicando un'email ProtonMail per il contatto.
• Nessuna prova di esfiltrazione dati, insolito per le moderne operazioni ransomware.

Gli esperti di sicurezza suggeriscono che gli attacchi possano essere una falsa bandiera, furto strategico di dati o hacker di Stato alla ricerca di guadagni extra, segnalando un cambio di tattica dei gruppi cinesi.

Variante di Snake Keylogger prende di mira gli utenti Windows con tecniche avanzate di evasione

Una nuova variante del Snake Keylogger (Autolt/Injector.GTY!tr) rappresenta una grave minaccia per gli utenti Windows, utilizzando tecniche di evasione avanzate per rubare dati sensibili da Chrome, Edge e Firefox.

Dal gennaio 2025, FortiGuard Labs ha bloccato oltre 280 milioni di tentativi di infezione, con attacchi concentrati in Cina, Turchia, Indonesia, Taiwan e Spagna. Il malware si diffonde tramite email di phishing, sfruttando AutoIt scripting e process hollowing per eludere il rilevamento.

Una volta attivo, cattura sequenze di tasti, dati di riempimento automatico e contenuti degli appunti, esfiltrandoli tramite SMTP e bot Telegram. Gli aggressori utilizzano anche checkip.dyndns.org per individuare la posizione geografica delle vittime.

Misure consigliate:

• Implementare sandboxing avanzato per analizzare script e binari.
• Bloccare connessioni ai server C2 noti.
• Formare i dipendenti sui rischi del phishing.

L'evoluzione di Snake Keylogger richiede difese stratificate basate su intelligenza artificiale e threat intelligence per mitigare i rischi.

Attacchi ransomware colpiscono il principale stampatore di libri e un'agenzia letteraria nel Regno Unito

Due importanti aziende editoriali britanniche, CPI Books e The Agency, sono state vittime di attacchi ransomware, con gravi impatti su operazioni e finanze.

CPI Books, il più grande stampatore di libri nel Regno Unito, ha subito un blocco dei sistemi IT il 7 febbraio, interrompendo la produzione in nove stabilimenti. L’editore indipendente Firefly Press ha subito perdite ingenti, dovendo ricorrere a fornitori alternativi. CPI sta collaborando con esperti di sicurezza informatica per ripristinare i servizi.

The Agency, una delle principali agenzie letterarie del Regno Unito, è stata attaccata dal gruppo Rhysida, lo stesso che ha colpito la British Library. Gli hacker minacciano di divulgare dati rubati se il riscatto non verrà pagato.

Questi attacchi evidenziano la crescente minaccia informatica per l'industria editoriale e dei media. La British Library ha già speso 6 milioni di sterline per riprendersi da un attacco di Rhysida nel 2023.

Attacco informatico paralizza il principale fornitore di edilizia sociale dell'Irlanda del Nord

Choice Housing, uno dei maggiori fornitori di alloggi sociali in Irlanda del Nord, è stato colpito da un attacco informatico all'inizio del mese, causando gravi interruzioni IT e ritardi per gli inquilini.

L'attacco, probabilmente originato da una email malevola, ha costretto il personale a lavorare nel weekend per contenere i danni. Choice, che gestisce oltre 10.000 alloggi sociali e 4.700 proprietà a Belfast, ha disattivato i sistemi per precauzione, ma non ritiene che i dati siano stati compromessi.

Misure adottate:

• Piano di recupero IT in corso per ripristinare rapidamente i servizi.
• Personale allertato su ulteriori minacce.
• Revisione completa dell’incidente avviata.

Il settore edilizio è sempre più nel mirino dei cyber criminali: un rapporto del 2024 di RSM UK ha rilevato che una associazione immobiliare su quattro nel Regno Unito è stata presa di mira nell'ultimo anno.

Giamaica diventa il principale bersaglio di attacchi informatici in America Latina e nei Caraibi

La Giamaica è ora il paese più colpito da attacchi informatici in America Latina e nei Caraibi, secondo Mervyn Eyre, CEO di Fujitsu Caribbean. Con un'alta incidenza di attacchi e una bassa preparazione, il paese affronta 2.582 attacchi settimanali, ben oltre la media globale.

Recenti attacchi includono il ransomware su Biomedical Caledonia Medical Lab, con oltre 70.000 file rubati e pubblicati sul dark web. Altri bersagli includono una società quotata alla Borsa della Giamaica e una concessionaria di auto, costretta a chiudere temporaneamente.

I cyber criminali sfruttano i dati rubati per frodi, con segnalazioni di telefonate e messaggi di phishing. Nonostante le minacce, cresce l’investimento nella sicurezza informatica.

La Data Protection Act giamaicana, in vigore dal dicembre 2023, impone la segnalazione delle violazioni entro 72 ore, ma la conformità è ancora scarsa. L’Ufficio del Commissario per l'Informazione esorta le aziende a prioritizzare la sicurezza dei dati per evitare sanzioni legali.

Insight Partners conferma attacco informatico

La società di venture capital Insight Partners, con sede a New York, ha confermato di essere stata vittima di un attacco informatico a gennaio 2025. In una dichiarazione del 18 febbraio, l'azienda ha rivelato che un attaccante non autorizzato ha avuto accesso a parti dei suoi sistemi tramite un sofisticato attacco di ingegneria sociale.

L'attacco è stato rilevato il 16 gennaio, portando a misure immediate di contenimento e bonifica. Insight Partners ha assicurato che le sue operazioni e i suoi fondi non sono stati compromessi, e non ci sono prove di ulteriori intrusioni.

L’azienda ha notificato le autorità competenti e informato i suoi partner e società in portafoglio, tra cui Armis, SentinelOne e Wiz. Attualmente sta lavorando con esperti di sicurezza informatica e analisti forensi per determinare l'intera portata della violazione.

If you are worried about any of the threats outlined in this bulletin or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager, or alternatively Get in touch to find out how you can protect your organisation. 

The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.