Il caso attacchi Ransomware ha ormai raggiunto la massima attenzione da parte di realtà private ed enti pubblici. Anche la Casa Bianca tramite vari interlocutori ha trattato questo argomento dopo gli attacchi a Colonial Pipeline e Kaseya. In Italia l’attacco alla regione Lazio ha causato gli stessi disordini causati in situazioni simili negli U.S.A.
Dietro questi attacchi informatici operano gruppi ben organizzati, sviluppatori che migliorano i propri strumenti e Penetration Tester reclutati per la compromissione delle infrastrutture (noti anche come Operator).
Criminali alla ricerca di collaboratori
I criminali vanno costantemente alla ricerca di collaborazioni per espandere i propri business. Nel caso specifico un gruppo criminale, tramite una sorta di Job Posting, è alla ricerca di figure che svolgano attività da Penetration Tester.
Al post segue un commento di un utente “arrabbiato” con questo gruppo, rilasciando informazioni molto importanti sugli attacchi e sulla loro organizzazione. Condivide inoltre informazioni sui server di Command & Control, allega una guida contenente tutti i passaggi seguiti dai criminali per compromettere le infrastrutture. Per citare alcuni esempi, vengono definite le attività per effettuare attacchi Brute-force oltre che per l’esfiltrazione e cifratura dei dischi.
Il gruppo sembrerebbe essere affiliato al famoso RaaS Conti.
Qualche ora più tardi la risposta al post di reclutamento contenente screen e guida vengono rimossi dall’amministratore del forum, l’utente ha poi creato un post a parte ripostando tutto il materiale. Tra i commenti si può notare la risposta di un utente (collegato al servizio RaaS LockBit 2.0) non molto contento.