Conti ransomware e le trasformazioni, ma anche Fediverso e strumenti OSINT per Mastodon
Buon sabato e ben ritrovato caro cyber User. Una delle novità che ha riempito sicuramente la settimana appena passata è Mastodon. Cioè, non che fosse una novità il sistema in se, più che altro con la community che ruota attorno al mio blog e ai progetti di inSicurezzaDigitale, ho tirato su un'istanza nel Fediverso, proprio per offrire un server in più a questa rete sociale e una porta italiana e focalizzata sul mondo cyber, per chiunque voglia entrarne a far parte.
L'istanza si chiama mastodon.insicurezzadigitale.com
In breve oggi ti parlo di:
Le trasformazioni di Conti e cambio di obiettivi
Strumenti OSINT consigliati
Le trasformazioni di Conti e cambio di obiettivi
L'ecosistema delle minacce di Conti, che resta sempre uno dei ceppi di malware più prolifici nel panorama globale delle minacce informatiche, si rafforza giorno dopo giorno. Un recente report indica che si sta allontanando dagli obiettivi statunitensi verso altri paesi europei affiliati alla NATO.
Praticamente tutti i ricercatori ed esperti sono concordi con il fatto che Conti non abbia chiuso, ma solo spostato le sue operazioni sotto nuovi brand BlackByte e Black Basta. Questa settimana è stato pubblicato un nuovo report che ne ripercorre le attività salienti che hanno portato a questo, dai ricercatori di eSentire. Questi gruppi hanno preso di mira in modo aggressivo segmenti di infrastrutture critiche in Europa e altre organizzazioni in tutto il mondo.
Tra la fine di febbraio e la metà di luglio, questi gruppi di ransomware hanno elencato 81 organizzazioni vittime sui loro siti di data leak.
Di questi, il 41% degli obiettivi erano aziende nei settori delle infrastrutture critiche, tra cui energia, governo, trasporti, prodotti farmaceutici, strutture, cibo e istruzione in Europa.
Il restante 59% era principalmente in organizzazioni di produzione, piccola vendita al dettaglio e costruzioni negli Stati Uniti
Le recenti attività di Blackbyte
Ad ottobre, BlackByte è stato individuato sfruttare un nuovo strumento di esfiltrazione chiamato Exbyte (Infostealer.Exbyte), che abusava principalmente dei difetti di ProxyShell.
È stato osservato l'abuso di driver legittimi con la tecnica BYOD (Bring Your Own Driver) per aggirare i prodotti di sicurezza.
Le recenti attività di Black Basta
È stato trovato un possibile collegamento tra l'operazione Black Basta e il gruppo di hacking FIN7, suggerendo che stiano condividendo strumenti di compromissione personalizzati sviluppati dagli stessi attori delle minacce.
Il gruppo ransomware Black Basta utilizzava più metodi di distribuzione per distribuire Brute Ratel, SmokeLoader, Emotet e altri malware.
Conti sta formando nuovi alleati, sviluppando nuovi strumenti e tecniche ma anche "hackerando" attivamente organizzazioni critiche. L'aumento delle attività degli affiliati di Conti e la deviazione degli attacchi suggeriscono che sta crescendo come un'industria RaaS illecita diversificata, che dà lavoro a migliaia di criminali informatici in tutto il mondo con varie specializzazioni.
Strumenti OSINT consigliati
Per la rubrica "strumenti OSINT", questa settimana stiamo appesi al collegamento con Mastodon, che ha in qualche modo segnato questi giorni. Vi lascio quindi una serie di strumenti utili per chi sta approcciando questo mondo.
Masto: Masto ricerca gli utenti Mastodon per nome e raccoglie informazioni su di loro (data di creazione del profilo, numero di seguiti e follower, biografia, collegamento avatar e altro).
Fedifinder: Strumento per trovare utenti di Twitter in Mastodon. Puoi cercare tra chi ti segue, chi segui, così come nelle tue liste! I risultati possono essere esportati in CSV.
Masto Vue: Sempre più blogger osint e infosec stanno creando profili Mastodon in questi giorni. Questo strumento ti aiuterà a trovare account che corrispondono ai tuoi interessi tramite hashtag.
Debirdify: Questo strumento trova automaticamente gli account Fediverse/Mastodon delle persone che segui su Twitter.
Anche quest'oggi abbiamo concluso, ti ringrazio per il tempo e l'attenzione che mi hai dedicato, augurandoti buon fine settimana, ti rimando al mio blog e alla prossima settimana per un nuovo appuntamento con NINAsec.