I ricercatori della società di sicurezza informatica Halcyon, affermano di aver individuato un nuovo gruppo ransomware, che ha portato a termine almeno due attacchi riusciti nel corso delle ultime due settimane. Il gruppo in questione è stato denominato Volcano Daemon e il suo raggio di azione è focalizzato sulle aziende dedite ai settori della produzione e della logistica. A rivelarlo è stato Tim West, analista presso Halcyon, in un commento affidato a Recorded Future News, senza però fornire ulteriori ragguagli sugli obiettivi del gruppo hacker.

Volcano Daemon, anche il telefono è utilizzato per i raid

Nel corso della conversazione con Recorded Future News, West ha appuntato la sua attenzione su una caratteristica molto interessante del gruppo di criminali informatici, ovvero il suo fare leva sulle telefonate, per condurre gli attacchi di ransomware. Volcano Daemon, infatti, non ha un suo sito web pubblico, come accade di solito. Prima di effettuare le chiamate ai responsabili delle organizzazioni attaccate, gli hacker provvedono a crittografare i file sui sistemi delle vittime utilizzando il ransomware LukaLocker, precedentemente sconosciuto. A questo punto segue una richiesta di riscatto, tramite chiamata telefonica proveniente da numeri non identificati, che di solito si caratterizza per il tono minaccioso. Evidente, quindi, come ricordato dai ricercatori di Halcyon, la volontà di piegare le controparti da un punto di vista psicologico.

La nota emessa per l'occasione dall'azienda di sicurezza informatica, fornisce un eloquente esempio di questo genere di conversazione: "Se ignorate questo incidente... faremo in modo che i vostri clienti e partner siano a conoscenza di tutto e gli attacchi continueranno. Alcuni dati saranno venduti a truffatori che attaccheranno i vostri clienti e dipendenti".

Le modalità degli attacchi

Se il gruppo non era noto prima di questi exploit, ancora i ricercatori di Halcyon ricordano come Volcano Daemon sia riuscito a bloccare con successo le workstation e i server Windows sfruttando le credenziali amministrative comuni ottenute dalla rete.

La tecnica usata per massimizzare le possibilità di ricevere il riscatto desiderato prevede che prima dell'infezione di LukaLocker siano esfiltrati i dati delle vittime presenti nei servizi di comando e controllo (C2), per poi procedere al loro criptaggio.

I ricercatori hanno poi ricordato le difficoltà riscontrate nel tentativo di tracciare il gruppo. A renderlo complicato è stata la cancellazione dei file di registro sui dispositivi presi di mira prima dello sfruttamento. In tal modo, infatti, gli hacker hanno reso quasi impossibile dare vita ad una valutazione forense completa. Inoltre, come ricordato da West nella conversazione con Recorded Future News, se gli hacker parlavano con un forte accento, è stato praticamente impossibile stabilirne l'origine a causa della mancanza di registrazioni, ad oggi ancora non disponibili.

Per il momento non è chiaro se Volcano Daemon operi in maniera indipendente o sia affiliato a un gruppo ransomware già noto. Quello che è certo è che gli autori del ransomware mostrano grande capacità di evolversi. Tanto che di recente sono emersi nuovi autori di minacce i quali prendono di mira una vasta gamma di settori.

Un esempio in tal senso è Arcus Media, scoperto nel passato mese di maggio, il quale è solito utilizzare un modello ransomware-as-a-service, permettendo anche ad altri di utilizzare il proprio malware. Nel mese di giugno, invece, gli hacker avrebbero preso di mira diverse vittime negli Stati Uniti, nel Regno Unito, in India e in Brasile.

Mentre risale all'inizio di aprile la comparsa di Space Bears, gruppo di criminali informatici che deve la sua notorietà al suo sito di fuga di dati a tema aziendale e dedicato alle affiliazioni strategiche. Opportunità di cui ha usufruito tra gli altri il gruppo Phobos, offrendo un ransomware

alla stregua di servizio.

Tweet