Dal 2024, un nuovo gruppo cybercriminale ha iniziato a colpire varie aziende italiane con tecniche sofisticate ed evasive. Il nostro team di Incident Response è intervenuto varie volte per neutralizzarlo e in questo articolo forniamo un’analisi del loro modus operandi e delle raccomandazione utili per difendersi.
Il paradosso della morale
Il gruppo in questione è Interlock, un gruppo hacker criminale nato nel 2024 che opera tramite Ransomware e double extortion, colpisce organizzazioni di settori differenti e in Europa ha coinvolto alcune aziende manifatturiere denotando come non abbiano un target specifico ma siano mossi semplicemente da opportunità.
Il nome di questo gruppo deriva da International Locker e si distingue per l’elevato livello di sofisticazione degli attacchi e per l’utilizzo di tecniche evasive che rendono la sua identificazione e l’analisi del suo modus operandi particolarmente complesse.
Affermano di essere, parzialmente, spinti dal desiderio di far raggiungere alle aziende la consapevolezza della loro scarsa postura di cybersecurity, un po’ come faceva Jigsaw della saga “Saw” con le sue vittime. Una volta compromessa una vittima questa viene pubblicata sul loro data leak site noto come “Worldwide Secrets Blog” per aumentare la pressione sull’azienda coinvolta e spingerla a pagare un riscatto.
La compromissione iniziale in alcuni attacchi avviene tramite dei falsi aggiornamenti di Google Chrome scaricati da siti legittimi che sono stati precedentemente compromessi. In realtà l’aggiornamento di Chrome è un remote access tool che comincia a recuperare informazioni sull’host vittima e stabilisce una prima connessione con un server C2. Segue una fase di ricognizione iniziale, persistenza, movimenti laterali fino all’esecuzione del ransomware e alla richiesta di riscatto.
Supper: backdoor inedita
L’elemento di maggior interesse emerso dalle nostre indagini è l’utilizzo di una nuova backdoor, denominata Supper, mai documentata prima. Dalle nostre analisi di threat intelligence, sembra che questa backdoor sia stata sviluppata all’inizio dell’estate 2024. Alcuni sample di “prova” sono stati caricati su piattaforme di analisi malware pubbliche ad inizio agosto, probabilmente per testarne l’efficacia e l’evasività.
Attraverso il reverse engineering del malware impiegato da Interlock, abbiamo scoperto che alcune porzioni di codice di Supper vengono rilevate da diversi antivirus come potenzialmente appartenenti al gruppo DEV-0832 (noto anche come Vanilla Tempest), un gruppo di hacker russi, attivo da oltre un decennio e specializzato in cyber spionaggio e attacchi mirati.
Inoltre, abbiamo individuato alcune similitudini e collegamenti anche con SocGholish e FakeUpdate, un malware noto per la sua capacità di iniettare codice dannoso nei siti web e scaricare altri malware. Quest’ultimo potrebbe ricondurre al TA Storm-0494, conosciuto dalle fonti di intelligence per “collaborare” con altri gruppi criminali.
Anche se sono stati trovati diversi collegamenti con i gruppi sopra citati, è ancora troppo presto per trarre conclusioni; la parte di attribuzione è sempre quella più complessa ed il rischio è quello di prendere un abbaglio.
Curiosamente, Supper viene anche rilevata come Rhysida, un ransomware tristemente noto anche in Italia, apparso a maggio 2023 e noto per la sua rapida diffusione e per la capacità di eludere i sistemi di sicurezza. Rhysida, come molti altri ransomware, opera in modalità RaaS (Ransomware-as-a-Service), offrendo il proprio malware “in affitto” ad altri criminali informatici.
Collegamenti tra bande?
Questa scoperta suggerisce l’ipotesi che dietro Interlock possano celarsi individui con legami con DEV-0832, Rhysida e Storm-0494, o che, più probabilmente, criminali informatici si spostino da un gruppo all’altro in base alle opportunità e ai profitti, sfruttando strumenti e competenze acquisite in precedenza.
Questa “fluidità” tra gruppi criminali è un fenomeno sempre più diffuso nel panorama della cyber security, che rende ancora più difficile l’attribuzione degli attacchi e la prevenzione delle minacce.
Raccomandazioni
L’emergere di Interlock sottolinea l’importanza di adottare un approccio proattivo alla sicurezza informatica con sistemi di monitoraggio e risposta attivi H24. È fondamentale mantenere i sistemi aggiornati, implementare soluzioni di sicurezza multistrato e sensibilizzare gli utenti sui rischi del cybercrime.
È altrettanto fondamentale prepararsi ad affrontare un eventuale attacco predisponendo un piano di Incident Response efficace e strutturato. Questo piano deve definire chiaramente ruoli e responsabilità, procedure da seguire e canali di comunicazione da utilizzare in caso di incidente.
Analisi di Simone Marinari – Incident Response Lead, CYBEROO
