Strumento di cyber criminalità cinese acquisito da bande ransomware russe

Comunicato stampa  |  16 marzo 2023

Il rapporto WithSecure™ che documenta il movimento di SILKLOADER dalla Cina alla Russia evidenzia le implicazioni della cooperazione tra gli attori delle minacce.

Milano, Italia – 16 marzo 2023: Il settore della criminalità informatica consente ai threat actor di condividere i propri strumenti, favorendo la crescita del numero e delle capacità delle minacce. Un nuovo rapporto di WithSecure™ (precedentemente nota come F-Secure business) illustra questa dinamica documentando la migrazione dello strumento di attacco informatico "SILKLOADER" dai criminali informatici cinesi alle bande ransomware russe.

I ricercatori WithSecure™ hanno prima scoperto SILKLOADER quando è stato usato in un attacco contro un’organizzazione di assistenza sociale in Francia. Secondo il rapporto, è stato utilizzato in vari attacchi almeno dall’inizio del 2022.

Prima dell'estate 2022, veniva impiegato esclusivamente da criminali informatici cinesi contro obiettivi in Asia orientale, soprattutto Hong Kong e Cina. Tuttavia, l'attività di SILKLOADER è cessata a luglio.

SILKLOADER non è stato più visto fino a settembre, quando è riapparso in un'altra serie di attacchi contro vari obiettivi in diversi Paesi, tra cui Taiwan, Brasile e Francia.

I ricercatori di WithSecure™ hanno concluso che SILKLOADER si è spostato nell'ecosistema della criminalità informatica russa. La spiegazione più probabile è che i criminali informatici cinesi lo abbiano venduto alle controparti russe.

"Riteniamo che SILKLOADER sia attualmente distribuito all'interno dell'ecosistema russo della criminalità informatica come loader off-the-shelf attraverso un programma di Packer-as-a-Service a gruppi di ransomware, o eventualmente attraverso gruppi che offrono Cobalt Strike/Infrastructure-as-a-Service ad affiliati fidati. Di solito lo abbiamo visto durante intrusioni pratiche nelle prime fasi di quelli che sembrano attacchi ransomware,” dichiara Mohammad Kazem Hassan Nejad, ricercatore di WithSecure™ Intelligence. “La maggior parte degli affiliati sembra aver fatto parte o aver avuto stretti rapporti di lavoro con il gruppo CONTI, i suoi membri e i suoi successori dopo la sua presunta chiusura.”

SILKLOADER, un tipo di malware chiamato loader, abusa di una tecnica nota come DLL sideloading utilizzando VLC Media player per lanciare i beacon Cobalt Strike sui dispositivi. Questi beacon consentono agli attaccanti di accedere costantemente ai dispositivi infetti per utilizzarli ulteriormente.

Secondo Hassan Nejad, il loader è stato costruito per oscurare i beacon Cobalt Strike in modo che possano eludere i meccanismi di difesa sul computer della vittima.

"I beacon Cobalt Strike sono molto noti e i rilevamenti contro di essi su un computer ben protetto sono praticamente garantiti. Tuttavia, aggiungendo ulteriori livelli di complessità al contenuto del file e lanciandolo attraverso un'applicazione nota come VLC Media Player tramite sideloading, gli attaccanti sperano di eludere questi meccanismi di difesa,” commenta.

Il contrasto ai servizi di cyber criminalità

Secondo Paolo Palumbo, Vice President di WithSecure™ Intelligence, la disponibilità del loader come servizio che può essere acquistato da diversi attori delle minacce mette in evidenza la sfida nel contrastare le tecniche disponibili nel settore della criminalità informatica.

Paolo Palumbo

“Gli attaccanti utilizzano l’industria del cyber crime per acquisire nuove capacità e tecnologie in modo da poter adattare rapidamente le loro operazioni alle difese dei loro obiettivi. Questo ci rende difficile associare le risorse a un particolare gruppo o modalità operativa. D'altro canto, questa condivisione di infrastrutture ci offre un moltiplicatore di forze difensive grazie al quale possiamo difenderci da più gruppi contemporaneamente, creando strategie per contrastare le risorse che condividono,” aggiunge Palumbo.

WithSecure™ Elements e WithSecure™ Countercept Managed Detection and Response hanno rilevato più volte SILKLOADER e le attività correlate. Per maggiori informazioni su queste soluzioni è possibile visitare https://www.withsecure.com/en/solutions.

Una panoramica di SILKLOADER, compresi gli indicatori di compromissione, è disponibile qui https://labs.withsecure.com/publications/silkloader.

Informazioni su WithSecure™

WithSecure™, precedentemente F-Secure Business, è il partner di riferimento per la cyber security. Provider di servizi IT, MSSP e aziende, insieme alle più importanti istituzioni finanziarie, imprese manifatturiere e migliaia di fornitori dei più avanzati sistemi di comunicazione e tecnologie nel mondo si affidano a noi per conseguire una cyber security basata sui risultati, che protegge e consente le loro operazioni.

La nostra protezione guidata dall’IA mette al sicuro gli endpoint e la collaborazione su cloud, il nostro sistema di intelligent detection and response è alimentato da esperti che identificano i rischi aziendali tramite threat hunting proattivo e affrontando gli attacchi in tempo reale. I nostri consulenti collaborano con imprese e tech challenger per costruire la resilienza attraverso una consulenza sulla sicurezza basata su prove concrete. Con oltre 30 anni di esperienza nella creazione di tecnologie che soddisfano gli obiettivi aziendali, abbiamo disegnato il nostro portafoglio per crescere con i nostri partner attraverso modelli commerciali flessibili.

Fondata nel 1988, WithSecure™ Corporation è quotata sul listino NASDAQ OMX Helsinki Ltd.