Highwealth e il gruppo Vendetta, relazioni con l'Italia di un ransomware a Taiwan
Buona domenica e ben ritrovato caro cyber User. Oggi analizziamo dettagli sul modus operandi del nuovo gruppo ransomware Vendetta.
V_IS_Vendetta, oppure?
Apparso pochi giorni fa nella scena del cyber-crime, Vendetta si propone come gruppo ransomware. La sue pagine Web sono all'interno di un sottodominio del sito Web di Cuba, altro gruppo ransomware già da tempo operativo.
Questa settimana il gruppo Vendetta ha rivendicato l'attacco a Highwealth, grande società di costruzioni edili a Taiwan. La rivendicazione ha previsto, esattamente come la precedente società sua vittima (del 12/02/2023), l'esposizione online di quanto rubato con l'attività di intrusione.
È grazie all'intuizione di Claudio Sono, che sono andato alla ricerca di altri dettagli sulle rivendicazioni di Vendetta ransomware.
Quello che è apparso subito strano è che, all'interno della rivendicazione di questa società taiwanese, sembrano comparire collegamenti con importanti società italiane e una grande mole di materiale ad esse associati.
Analizzando i dati esposti, si può dedurre che Vendetta sia Cuba. Senza ombra di dubbio utilizzano lo stesso malware per portare a termine la crittografia del ransomware. Le note di riscatto non sono personalizzate, ma finora compaiono unicamente note di Cuba, con tutti i riferimenti di Cuba ransomware. Quindi Vendetta sembra essere Cuba.
Anzi, potrei proporre un azzardo: Vendetta non ha effettuato ancora alcun attacco. Vediamo il perché.
R1 Group, Eurome e CyberBee
Cosa c'entra tutto questo in un attacco ad una società Taiwanese? Niente. Infatti non sono collegate le due cose. Il sito Web di vendetta riporta, per ogni vittima rivendicata, un link "Download" che porta ad un file server, sempre uguale per tutte le vittime. Questo non è altro che il file server riportato in tutte le rivendicazioni nel sito di Cuba.
Quando Vendetta rivendica una vittima, espone i presunti file, tramite il link "Download" che in realtà porta al file server di Cuba e che NON contiene le vittime di Vendetta.
Tutto quello che si vede, invece, sono i documenti esfiltrati dagli attacchi di Cuba, del passato.
Ci sono documenti della italiana R1 Group e di tutte le società del gruppo, con all'interno contratti di sicurezza per enti e privati di tutta Italia, informazioni aziendali, backup di smartphone di dipendenti del Gruppo italiano leader nella sorveglianza.
Però, non è un collegamento come può apparire, con la società Taiwanese rivendicata da Vendetta, ma bensì l'esposizione di quello che fu, l'anno scorso, il loro (di R1 Group e aziende partner) attacco informatico (che trattai a suo tempo). Vale la pena di ricordarlo: la dimensione di questo data breach, fu ed è ancora oggi enorme. Impatta su dati di Comuni, enti governativi, dipendenti, clienti, in una estensione eccezionalmente vasta. I criminali al tempo resero disponibili su Internet (e sono presenti ancora oggi), documenti di tutte le più grandi aziende italiane, clienti del gruppo R1, alle quale venivano offerti contratti di sicurezza informatica, dal 2018 al 2022. Ci sono i compensi pagati, le offerte, i preventivi di spesa, un archivio immenso che espone anche momenti privati di ufficio, condivisi tra colleghi. Insomma un grande pezzo di vita del Gruppo R1 SpA e delle associate che, al tempo, ha sempre rassicurato il pubblico, identificandosi come mai stato attaccato.
Per delineare bene questo modus operandi, abbastanza disorganizzato, del nuovo gruppo Vendetta, si può anche analizzare le date dei file inseriti sul proprio file server. In effetti non ci sono cartelle accese nel 2023, sono tutti archivi presistenti già da mesi.
Questo accende l'interrogativo su come possa rivendicare in realtà il gruppo Vendetta. Ha davvero colpito le vittime che rivendica? E se si, perché ancora non ha iniziato ad esporne il contenuto, se condivide il link "Download"?
Oltre gli interrogativi, in questa puntata abbiamo sicuramente imparato a conoscere meglio e più da vicino questo nuovo gruppo ransomware, o meglio rebranding di gruppo ransomware Vendetta, ex Cuba. Come rivendica le sue vittime e la stretta intimità di infrastrutture utilizzate, del (medesimo?) gruppo Cuba.
Evento: Expo Security & Cyber Security Forum
INSICUREZZA DIGITALE sarà MEDIA PARTNER della settima edizione di Expo Security & Cyber Security Forum, uno dei principali eventi italiani sulla Sicurezza Informatica, che si terrà il 24 , 25 e 26 Maggio 2023 presso il Padiglione Espositivo del Marina di Pescara.
Expo Security & Cyber Security Forum è l'evento di riferimento per il centro sud Italia per l'intera filiera della Cybersecurity nella sua accezione global e local: sicurezza fisica, sicurezza logica e sicurezza integrata.
Anche quest'oggi abbiamo concluso, ti ringrazio per il tempo e l'attenzione che mi hai dedicato, augurandoti buon fine settimana, ti rimando al mio blog e alla prossima settimana per un nuovo appuntamento con NINAsec.