Negli ultimi tempi, il panorama della sicurezza informatica è stato scosso dall'emergere di un nuovo gruppo di cybercriminali noto come TRIPLESTRENGTH. Questi attori malevoli hanno dimostrato particolare interesse nell'attaccare ambienti cloud per il cryptojacking e sistemi on-premises per attacchi ransomware. Google, attraverso il suo rapporto Threat Horizons, ha evidenziato le modalità di attacco di TRIPLESTRENGTH, sottolineando come il gruppo utilizzi risorse cloud compromesse per operazioni di mining di criptovalute e come pubblicizzi l'accesso a piattaforme cloud diverse tra cui Google Cloud, Amazon Web Services e Microsoft Azure.

Accesso e tecniche di attacco

L'accesso iniziale ai sistemi cloud è spesso ottenuto tramite credenziali rubate e cookie, alcuni dei quali sono stati rintracciati a infezioni da stealer come Raccoon. Una volta ottenuto l'accesso, i cybercriminali sfruttano le risorse per il mining di criptovalute, utilizzando algoritmi ottimizzati sia per CPU che per GPU, tramite applicazioni come unMiner e pool di mining come unMineable.

Distribuzione del ransomware

Un aspetto interessante delle loro operazioni è che il ransomware viene distribuito principalmente su risorse on-premises piuttosto che su infrastrutture cloud. Per tali operazioni, TRIPLESTRENGTH si affida a locker noti come Phobos, RCRU64 e LokiLocker. All'interno di canali Telegram dedicati all'hacking, gli attori di TRIPLESTRENGTH hanno pubblicizzato il ransomware-as-a-service RCRU64 e cercato collaboratori per operazioni di ransomware e ricatti.

In un caso accaduto nel maggio 2024, il gruppo ha ottenuto l'accesso iniziale tramite il protocollo desktop remoto, eseguendo poi movimenti laterali e tecniche di evasione antivirus per diffondere il ransomware su diversi host. Inoltre, TRIPLESTRENGTH ha regolarmente pubblicizzato l'accesso a server compromessi, inclusi quelli di fornitori di hosting e piattaforme cloud, su Telegram.

Misure di contrasto

Per contrastare queste attività, Google ha implementato misure come l'autenticazione multi-fattore (MFA) per ridurre il rischio di acquisizione degli account e migliorato i sistemi di logging per segnalare azioni di fatturazione sensibili. Google avverte che una singola credenziale compromessa può innescare una reazione a catena, permettendo agli aggressori di accedere a dati e applicazioni sia on-premises che nel cloud, e potenzialmente compromettere l'infrastruttura attraverso servizi di accesso remoto e manipolare l'MFA per attacchi successivi di ingegneria sociale.