De-anonimizzare Quantum Locker e presunte infiltrazioni Guccifer nel gruppo russo Killnet
Buon sabato e ben ritrovato caro cyber User. Due storie che hanno attirato la mia attenzione questa settimana e alcune informazioni utili da GitHub.
In breve oggi ti parlo di:
Il gruppo Killnet lamenta infiltrazioni
De-anonimizzare Quantum ransomware
Alcune informazioni utili
Il gruppo Killnet lamenta infiltrazioni
Dalle conversazioni e chat pubblicate sui vari gruppi a sostegno dell'ormai noto gruppo russo Killnet, sembra che ci siano preoccupazioni per una importante infiltrazione all'interno delle loro fila. Ciò che si lamenta è la possibilità che Guccifer 2.0 possa aver fornito informazioni personali all'FBI.
Ai primi del mese di giugno tutto sembra iniziato con un pannello DDoS che “Guccifer 2.0” ha venduto sul suo canale Telegram, e con il quale ha effettuato attacchi DDoS su siti russi. Perlomeno questo è ciò che lamentano i sostenitori di Killnet e ciò che segue è una disamina dei contenuti condivisi dal gruppo.
Una persona con lo pseudonimo di "Andrey Chadov" https://vk.com/id6838473R77 è stata coinvolta in attacchi ai siti Web di società di antivirus, incluso il sito Web "Kaspersky Antivirus", nonché il sito Web dell'operatore di telefonia mobile "Magafon".
"Andrey Chadov", alias "Andryukha Andryukha" nel social network VKontakte aveva i seguenti indirizzi:
https://vk.com/is_crytek
https://vk.com/killnetio
Il suo profilo principale al momento è https://vk.com/guccifer_2
Le sue pagine sul social network VKontakte:
https://vk.com/id683847377
https://vk.com/id655203061
Guccifer 2.0 faceva anche parte della Red Hackers Alliance. Successivamente, Guccifer è stato espulso dal gruppo "Red Hackers Alliance", accusato di aver fatto trapelare dati sul popolo russo. Sembra che Guccifer sia stato violato nel social VK.
Questo ratto stava facendo trapelare dati dal popolo russo, inclusa la fuga di dati all'FBI, sugli hacker filo-russi di KILLNET.
La mia conclusione
Ovviamente questa storia non sembra aver nulla a che fare con il Guccifer 2.0 che tutti conosciamo, per le infiltrazioni americane in Russia anche durante le elezioni politiche. Sembra più che altro un personaggio, presumibilmente infiltrato con lo scopo di carpire informazioni per l'occidente sui membri del gruppo Killnet, che utilizza nomi e nickname di personaggi famosi nel mondo dell'hacking.
De-anonimizzare Quantum ransomware
Una interessante ricerca di Cisco Talos, ha rivelato 3 metodi di analisi da utilizzare quando si ha a che fare con i siti Web dei gruppi ransomware. Le tecniche, pubblicate e spiegate in dettaglio, hanno il compito di aiutare gli analisti a de-anonimizzare questi siti Web che nascono sotto rete Tor, proprio per garantire un certo grado di sicurezza e scarsa tracciabilità ai criminali che ne gestiscono le operazioni.
Nelle ultime settimane ho parlato e analizzato la situazione dell'attacco contro Regione Sardegna, che ha visto la perdita di 155 GB di dati interni e sensibili, esfiltrati dai server gestiti da SardegnaIT. Questo attacco è stato operato dal gruppo ransomware identificato come Quantum Locker. La ricerca di Cisco Talos, tra gli altri, porta alla luce proprio una tecnica per de-anonimizzare il loro sito Web e identificare il reale indirizzo IP sul quale è ospitato.
Questa scoperta è stata fatta originariamente dal ricercatore informatico Soufiane Tahiri.
Quantum gestisce un blog di servizi nascosti su TOR in cui pubblicano i dati delle vittime rubate. La tecnica suggerita inizia l'analisi partendo dalla favicon che questo blog utilizza. Il file favicon.ico è infatti ospitato sulla cartella principale del server criminale, se ne può scaricare una copia e calcolare l'hash. Una ricerca di questo hash effettuata su Shodan porta in evidenza un solo indirizzo IP che ospita la stessa favicon. 185.38.185[.]32 (parte di AS60781 nei Paesi Bassi).
La verifica inoltre, della bontà di questo risultato è presto fatta, come suggerisce Cisco. Basta effettuare una ricerca inversa partendo da questo IP (IP Lookup), per trovare tutti gli indirizzi di dominio associati a questo IP, ecco il risultato:
quantumleap[.]quest
iwasruninhome[.]sito
qxv.staceyvicari[.]com
mtr.ddns[.]mobi
Ugroza.123ddns[.]com
Visitatene uno a caso e vedrete il blog di Quantum su clearnet e senza quindi necessità di passare per la rete Tor.
Informazioni utili
Questa settimana si è parlato tanto anche dell'attacco ransomware contro Walmart, grande catena GDO americana. Ne ha analizzato i dettagli anche Marco Govoni nel suo blog. Qui volevo solo lasciare un dettaglio utile ad effettuare una prima analisi preliminare sul ransomware utilizzato in questo attacco, relativamente nuovo. Si chiama Yanluowang e probabilmente non lo abbiamo ancora incontrato prima. Su questo repository troviamo informazioni utili per iniziare a conoscerlo, come anche la nota di riscatto utilizzata.
Segnalo anche questo utile CheatSheet incentrato su utili comandi e tecniche di Red Team, per Windows.
Anche quest'oggi abbiamo concluso, ti ringrazio per il tempo e l'attenzione che mi hai dedicato, augurandoti buon sabato, ti rimando al mio blog e alla prossima settimana per un nuovo appuntamento con NINAsec.