Storm-0501 passa dal ransomware tradizionale all’estorsione basata sul cloud 

Microsoft ha avvertito che l’attore delle minacce Storm-0501 ha evoluto le proprie operazioni, abbandonando la crittografia ransomware on-premise per concentrarsi su attacchi basati sul cloud. Invece di distribuire malware per bloccare i file, il gruppo sfrutta ora funzionalità cloud native per rubare dati, cancellare backup e crittografare account di archiviazione con chiavi gestite dai clienti. Le vittime vengono poi costrette a pagare riscatti per riottenere l’accesso. 

Attivo dal 2021, Storm-0501 ha già utilizzato famiglie ransomware come Sabbath, Hive e LockBit. Le campagne recenti mostrano però un focus su tenant Microsoft Entra ID e ambienti Azure. Sfruttando distribuzioni deboli di Microsoft Defender e compromettendo account privilegiati, gli aggressori hanno ottenuto controllo amministrativo, disattivato difese e distrutto opzioni di ripristino. 

Il cambiamento evidenzia una tendenza crescente: i gruppi di estorsione stanno abbandonando il ransomware tradizionale per metodi più furtivi e cloud-native, difficili da bloccare. Microsoft ha condiviso linee guida di rilevamento e sottolineato l’importanza di MFA forte e difese robuste nel cloud. 

Scoperto il primo ransomware basato su ia: promptlock 

I ricercatori di ESET hanno scoperto il primo ransomware alimentato dall’intelligenza artificiale, chiamato PromptLock, che utilizza il modello gpt-oss:20b di OpenAI per generare script dannosi su richiesta. Scritto in Golang, il malware si connette tramite l’API Ollama e usa prompt predefiniti per produrre dinamicamente script Lua destinati a scansione dei file system, furto di dati e crittografia. In particolare, PromptLock adotta il cifrario leggero SPECK a 128 bit, un algoritmo debole e raramente usato nei ransomware, suggerendo che si tratti ancora di un proof-of-concept piuttosto che di una minaccia attiva. 

ESET ha trovato il campione su VirusTotal, confermando che non è stato distribuito in attacchi reali. Ulteriori indizi, come un portafoglio Bitcoin legato a Satoshi Nakamoto e la mancanza di funzionalità di distruzione dei dati, rafforzano l’idea che sia sperimentale. Tuttavia, PromptLock è significativo perché dimostra come l’IA generativa possa essere usata come arma nei malware, offrendo capacità multipiattaforma e flessibilità operativa. 

La scoperta segue il report del CERT ucraino su LameHug, un altro strumento basato su LLM attribuito ad APT28, segnalando una tendenza emergente. 

Attacco informatico a miljödata interrompe 200 municipalità Svedesi 

Un cyberattacco al fornitore svedese di sistemi IT Miljödata ha interrotto i servizi in oltre 200 municipalità, sollevando preoccupazioni per il furto di dati personali sensibili. Gli aggressori avrebbero chiesto un riscatto di 1,5 Bitcoin (circa 168.000 dollari) per evitare la pubblicazione delle informazioni rubate. 

Miljödata, che fornisce sistemi di gestione HR e ambienti di lavoro a circa l’80% delle municipalità svedesi, supporta funzioni critiche come certificati medici, segnalazioni di infortuni sul lavoro e gestione dei casi di riabilitazione. L’amministratore delegato Erik Hallén ha confermato l’attacco il 25 agosto, dichiarando che l’azienda sta collaborando con esperti esterni per indagare sull’incidente e ripristinare i sistemi. 

Alcune regioni, tra cui Halland e Gotland, hanno avvertito i cittadini che dati sensibili potrebbero essere stati esposti. Il ministro svedese per la difesa civile, Carl-Oskar Bohlin, ha annunciato che CERT-SE e la polizia stanno valutando l’impatto. Nessun gruppo ransomware ha rivendicato la responsabilità e il sito web e i server email di Miljödata risultano ancora offline. 

Shadowsilk prende di mira governi dell’asia centrale e dell’apac 

I ricercatori hanno collegato una serie di attacchi informatici contro enti governativi in Asia centrale e nella regione Asia-Pacifico a un cluster di minaccia chiamato ShadowSilk. Sono state identificate quasi tre dozzine di vittime in Uzbekistan, Kirghizistan, Myanmar, Tagikistan, Pakistan e Turkmenistan, con intrusioni mirate principalmente al furto di dati. 

ShadowSilk mostra forti sovrapposizioni con gruppi già monitorati come YoroTrooper, SturgeonPhisher e Silent Lynx. Secondo gli analisti, l’operazione è condotta da un team bilingue, con sviluppatori russofoni legati al codice legacy di YoroTrooper e operatori sinofoni impegnati nelle intrusioni attive. 

Gli attacchi iniziano di solito con email di spear-phishing contenenti archivi protetti da password, che portano a loader personalizzati in grado di nascondere il traffico C2 dietro bot di Telegram. Il gruppo sfrutta vulnerabilità note in Drupal e plugin di WordPress, e impiega un ampio arsenale di strumenti come Cobalt Strike, Metasploit e password stealer personalizzati. 

 NSA e NCSC collegano le campagne di hacking Salt Typhoon ad aziende cinesi 

La NSA statunitense, la NCSC britannica e le agenzie di cybersicurezza di 13 nazioni hanno attribuito le campagne di spionaggio Salt Typhoon a tre aziende tecnologiche cinesi: Sichuan Juxinhe Network Technology, Beijing Huanyu Tianqiong Information Technology e Sichuan Zhixin Ruijie Network Technology. Secondo gli avvisi congiunti, queste società hanno supportato il Ministero della Sicurezza di Stato cinese e l’Esercito Popolare di Liberazione in operazioni informatiche contro reti governative, telecomunicazioni, trasporti e militari in tutto il mondo. 

Attivo almeno dal 2021, Salt Typhoon ha sfruttato vulnerabilità ampiamente note e corrette in dispositivi Ivanti, Palo Alto e Cisco per mantenere la persistenza e rubare dati sensibili. Invece di ricorrere a zero-day, il gruppo abusa di dispositivi edge non aggiornati, creando tunnel, raccogliendo traffico di autenticazione e distribuendo strumenti SFTP personalizzati scritti in Golang. 

La NSA e la NCSC avvertono che Salt Typhoon rimane altamente efficace e invitano le organizzazioni a dare priorità al patching, limitare i servizi di gestione, disabilitare le funzionalità legacy di Cisco e monitorare attivamente eventuali compromissioni. 

Si le preocupan alguna de las amenazas descritas en este boletín o necesita ayuda para determinar qué medidas debe tomar para protegerse de las amenazas más importantes que enfrenta su organización, comuníquese con su gerente de cuenta o, alternativamente, póngase en contacto para saber cómo puede proteger su organización.

El Resumen de Inteligencia de Amenazas fue preparado por Integrity360, resumiendo las noticias sobre amenazas tal como las observamos, actualizadas a la fecha de publicación. No debe considerarse asesoramiento legal, de consultoría o cualquier otro tipo de asesoramiento profesional. Cualquier recomendación debe considerarse en el contexto de su propia organización. Integrity360 no adopta ninguna postura política en la información que compartimos. Además, las opiniones expresadas pueden no ser necesariamente las de Integrity360.