WithSecure scopre Kapeka, un nuovo malware con collegamenti al gruppo dello stato-nazione russo Sandworm

Comunicato stampa | 17 Aprile 2024

europe_data_map

Il momento e i luoghi in cui Kapeka è stato individuato, così come i possibili collegamenti con Sandworm, rendono probabile che lo sviluppo e l'uso siano correlati alla guerra Russia-Ucraina.

Helsinki, Finlandia – 17 Aprile 2024: WithSecure™ ha scoperto un nuovo malware backdoor che è stato utilizzato in attacchi cyber nell'Europa orientale almeno dal 2022. Il malware, chiamato Kapeka, può essere collegato a un gruppo noto come Sandworm, che è un prolifico gruppo di minacce dello stato-nazione russo operato dal Direttorato Principale dello Stato Maggiore delle Forze Armate della Federazione Russa (GRU). Sandworm è particolarmente noto per i suoi attacchi distruttivi contro l'Ucraina per perseguire gli interessi russi nella regione.

Kapeka è una backdoor flessibile con tutte le funzionalità necessarie per servire come toolkit iniziale per i suoi operatori, oltre a fornire accesso a lungo termine all'infrastruttura della ‘vittima’. La vittimologia del malware, gli avvistamenti sporadici e il livello di furtività e sofisticazione indicano attività di tipo APT. Lo sviluppo e la distribuzione di Kapeka seguono lo scoppio della guerra Russia-Ucraina in corso, con Kapeka probabilmente utilizzato in attacchi mirati contro aziende in tutta l'Europa centrale e orientale dall'invasione dell'Ucraina nel 2022.

‘La backdoor Kapeka ha sollevato preoccupazioni a causa della sua associazione con l'attività APT russa, in particolare il gruppo Sandworm. La sua rarità e la sua natura mirata, osservata principalmente nell'Europa orientale, suggeriscono che si tratti di un tool su misura utilizzato in attacchi a raggio limitato. Un'analisi ulteriore ha rivelato sovrapposizioni con GreyEnergy, un altro toolkit collegato a Sandworm, rafforzando la sua associazione con il gruppo e evidenziando possibili implicazioni per le entità mirate nella regione’ afferma Mohammad Kazem Hassan Nejad, Ricercatore di WithSecure Intelligence.

WithSecure ha osservato per l'ultima volta Kapeka nel maggio 2023. È insolito che i gruppi di minacce, specialmente gli stati-nazione, cessino le operazioni o si disfino completamente degli strumenti. Pertanto, gli avvistamenti sporadici di Kapeka possono essere considerati una testimonianza della sua meticolosa utilizzazione da parte di un attore persistente avanzato (APT) in operazioni che si protraggono per anni, come la guerra Russia-Ucraina.

Il documento completo della ricerca è disponibile su https://labs.withsecure.com/publications/kapeka.

Informazioni su WithSecure™

WithSecure™ è il partner di riferimento per la cyber security in Europa. Affidabile per i fornitori di servizi IT, gli MSSP e le Società in tutto il mondo, offriamo soluzioni di sicurezza informatica basate sui risultati che proteggono le aziende di medie dimensioni. Vendor al 100% Europeo, WithSecure dà priorità alla privacy, alla sovranità dei dati e alla conformità normativa.

Con oltre 35 anni di esperienza nel settore, WithSecure™ ha progettato il suo portfolio per navigare nel cambiamento di paradigma dalla sicurezza informatica reattiva a quella proattiva. In linea con il suo impegno per la crescita collaborativa, WithSecure™ offre ai Partner modelli commerciali flessibili, garantendo il successo reciproco nel dinamico panorama della cybersecurity.

Elements Cloud rappresenta il cuore dell’offerta di WithSecure™, la quale integra in modo fluido tecnologie alimentate dall'IA, competenze umane e servizi di co-sicurezza. Inoltre, conferisce ai Clienti di medie dimensioni capacità modulari che spaziano dalla protezione degli endpoint e dei cloud, alla rilevazione e risposta alle minacce e alla gestione delle esposizioni.

Fondata nel 1988, WithSecure™ Corporation è quotata sul listino NASDAQ OMX Helsinki Ltd.