Il team di ricerca del Counter Threat Unit™ (CTU) analizza le minacce alla sicurezza per aiutare le organizzazioni a proteggere i propri sistemi. Sulla base delle osservazioni effettuate nei mesi di maggio e giugno, i ricercatori del CTU™ hanno identificato i seguenti aspetti rilevanti e cambiamenti nel panorama globale delle minacce:
- Le sfide nell’allineamento delle convenzioni di naming dei gruppi di attaccanti
- Le minacce di ritorsione iraniane contro gli Stati Uniti
- L’uso della derisione da parte delle forze dell’ordine come tattica
Allineamento delle convenzioni di naming dei gruppi di attaccanti: una sfida
Concettualizzare e armonizzare le diverse convenzioni di naming utilizzate per identificare i gruppi di attaccanti è un compito impegnativo. Secureworks ha reso pubblico, dal 2020, un “Rosetta Stone” dinamico per la mappatura dei nomi dei gruppi.
La denominazione dei gruppi di attaccanti è pensata per aiutare i professionisti della sicurezza a comprendere e identificare rapidamente specifici modelli di attacco e collegare le attività passate agli incidenti attuali. Queste informazioni forniscono una visione approfondita delle capacità e delle intenzioni degli autori delle minacce e possono orientare le decisioni di risposta, aiutare nell’attribuzione e portare a una modellizzazione dei rischi più accurata. Possono fornire indicazioni pratiche sui tipi e la portata di una minaccia e su come potrebbe essersi verificato un attacco.
L’esistenza di più convenzioni di denominazione per i gruppi di attaccanti non è dovuta solo al fatto che i fornitori vogliono imporre il proprio marchio sulla threat intelligence. È anche il risultato di una denominazione basata sulle osservazioni dei singoli vendor, che possono differire tra loro. È possibile mappare i nomi dei gruppi di attaccanti se due fornitori osservano la stessa attività, ma non è sempre così semplice.
All’inizio di giugno, Microsoft e CrowdStrike hanno annunciato un allineamento delle loro convenzioni di naming, un’iniziativa utile per la comunità della sicurezza. La CTU collabora attualmente con Secureworks per allineare i nomi dei gruppi di attaccanti con i numeri dei cluster di attività di Sophos.
Mantenere mappature “one-to-one” è difficile e richiede monitoraggio continuo e ritarature, poiché i gruppi di attaccanti possono cooperare, cambiare tattiche (TTP) o obiettivi, e gli ambiti dei vendor possono mutare. Microsoft e CrowdStrike suggeriscono che questo è solo l’inizio di un tentativo più ampio di allineamento, che dovrà bilanciare protezione della proprietà intellettuale e integrazione dati.
Realizzare questo allineamento proteggendo al contempo la telemetria proprietaria e la proprietà intellettuale sarà probabilmente difficile, ma è necessario un intervento di risoluzione dei conflitti guidato dagli analisti. Non è chiaro quali altri fornitori saranno coinvolti in questa iniziativa: Microsoft menziona Google/Mandiant e Palo Alto Networks Unit 42 nel suo annuncio, ma CrowdStrike no. L’elenco preliminare di Microsoft include una gamma più ampia di nomi di gruppi di attaccanti dei fornitori, compresi alcuni di Secureworks.
 |
Cosa fare: consultare i profili dei gruppi di attaccanti di Secureworks quando si leggono le intelligence per comprendere meglio attività e tattiche |
L’Iran minaccia ritorsioni contro gli Stati Uniti
Il sostegno americano agli attacchi militari israeliani contro obiettivi iraniani può aumentare il rischio di ulteriori contromisure da parte di attori informatici iraniani contro interessi USA.
Poco dopo gli attacchi militari israeliani, gli Stati Uniti hanno colpito il programma nucleare iraniano. L’Iran ha risposto con missili contro una base statunitense in Qatar e ha dichiarato l’intenzione di continuare a colpire obiettivi statunitensi.
Gli attacchi di Israele e l’assassinio di importanti leader militari e scienziati iraniani hanno segnato un’escalation in una serie di ostilità che dura da decenni. Questo conflitto ha incluso anni di guerra per procura in cui l’Iran ha fornito armi e addestramento a gruppi che attaccano Israele, come Hezbollah, gli Houthi e Hamas. Ci sono state anche continue ostilità informatiche tra i due paesi. Gli Stati Uniti sono stati periodicamente un altro bersaglio degli attacchi informatici e delle operazioni di influenza iraniane.
Non è chiaro quale forma potrebbe assumere questa minaccia di ritorsione, né se e quando verrà messa in atto. Ad esempio, dopo l’attacco con droni statunitensi del gennaio 2020 che ha ucciso il generale della Forza Quds del Corpo delle Guardie Rivoluzionarie Islamiche (IRGC) iraniano, l’Iran ha minacciato ritorsioni e ha lanciato attacchi missilistici contro le basi statunitensi in Iraq. Tuttavia, non ha condotto operazioni offensive cibernetiche o cinetiche degne di nota contro entità occidentali, come alcuni temevano.
L’Agenzia statunitense per la sicurezza informatica e delle infrastrutture (CISA) e le agenzie partner hanno pubblicato una scheda informativa che descrive i possibili tipi di ritorsioni informatiche iraniane. Gli attori iraniani e filo-iraniani sono stati associati ad attacchi di defacement, wiper, ransomware e distributed denial of service (DDoS). La pubblicazione sottolinea in particolare il rischio per le aziende della base industriale della difesa (DIB), specialmente quelle con legami con Israele. Il rischio elevato riguarda probabilmente anche le organizzazioni del Medio Oriente che l’Iran ritiene sostenitrici degli interessi statunitensi e israeliani. La scheda informativa menziona una precedente campagna condotta da hacktivisti filo-iraniani che ha preso di mira strutture negli Stati Uniti e in altri paesi che utilizzavano tecnologie operative di fabbricazione israeliana, come i controllori logici programmabili (PLC). L’Iran ricorre sempre più spesso a false identità hacktiviste, come Cyber Av3ngers, per nascondere il coinvolgimento del governo in questi attacchi distruttivi.
Le organizzazioni che potrebbero essere oggetto di ritorsioni da parte dell’Iran dovrebbero mantenere un elevato livello di vigilanza e garantire l’adozione di adeguate misure di difesa informatica. Questo consiglio vale sia per le organizzazioni statunitensi che per gli enti mediorientali che l’Iran potrebbe considerare favorevoli agli interessi degli Stati Uniti e di Israele.
|
Cosa fare: esaminare i rapporti CISA sul rischio rappresentato dall’Iran e prendere le opportune contromisure. |
Le forze dell’ordine usano la derisione come tattica efficace
Accanto alle operazioni di sequestro domini e arresti, la derisione pubblica degli autori della minaccia sembra una tattica sorprendentemente efficace.
Le forze dell’ordine globali hanno continuato a prendere di mira le operazioni di criminalità informatica, ma come in passato, non tutte le azioni hanno avuto un impatto duraturo. Ad esempio, Microsoft e il Dipartimento di Giustizia degli Stati Uniti hanno condotto azioni coordinate alla fine di maggio 2025 che hanno portato al sequestro e alla chiusura di oltre 2.300 domini associati a LummaC2, una delle operazioni di furto di informazioni più diffuse. Tuttavia, LummaC2 si è ripreso rapidamente. Le sandbox della CTU hanno continuato a raccogliere campioni di LummaC2 per tutto il mese di giugno e i server di comando e controllo (C2) hanno risposto normalmente. I ricercatori della CTU hanno anche osservato che LummaC2 è stato distribuito come payload di seconda fase nel mese di giugno da Smoke Loader, a sua volta sopravvissuto a un’operazione di smantellamento delle forze dell’ordine nel maggio 2024. Inoltre, il numero di log LummaC2 in vendita sui forum clandestini ha continuato ad aumentare durante maggio e giugno 2025.
Gli arresti e le condanne hanno un impatto sui singoli criminali, ma non sempre tutta l’attività cybercriminale. A maggio, il cittadino iraniano Sina Gholinejad si è dichiarato colpevole negli Stati Uniti di aver condotto attacchi ransomware RobbinHood dal 2019 al 2024 e rischia fino a 30 anni di carcere. Alla fine di giugno, la polizia francese ha arrestato quattro presunti gestori del forum di cybercrimine BreachForums, dopo l’arresto a febbraio della persona dietro il prolifico personaggio di BreachForums noto come IntelBroker. Tuttavia, BreachForums ha ripreso le attività sotto una nuova proprietà.
Gli arresti non sono sempre possibili. Gli Stati Uniti incriminano regolarmente sia i criminali informatici che gli aggressori sponsorizzati dallo Stato che risiedono in paesi in cui le forze dell’ordine statunitensi non hanno alcuna influenza. Ad esempio, un russo di 36 anni di nome Vitaly Nikolaevich Kovalev è stato collegato dalle forze dell’ordine tedesche nel mese di maggio alle operazioni Conti e TrickBot. Era stato incriminato negli Stati Uniti nel 2012 con l’accusa di frode bancaria, ma rimane latitante in Russia.
Ridicolizzare gli autori delle minacce e minarne la credibilità si è rivelato efficace. Uno degli obiettivi principali dell’operazione Cronos, che ha preso di mira l’operazione ransomware LockBit, precedentemente di grande successo, era quello di danneggiare la reputazione dell’amministratore di LockBit, Dmitry Khoroshev. Quest’ultimo vive in Russia e quindi non può essere arrestato dalle autorità statunitensi. La derisione da parte delle forze dell’ordine hanno portato a una significativa riduzione degli affiliati, al punto che Khoroshev ha dovuto ridurre il costo per diventare affiliato e abbandonare la verifica degli affiliati. I ricercatori del CTU hanno anche osservato che gli aggressori mostravano disprezzo per Khoroshev nei forum clandestini.
Nonostante il numero delle vittime di LockBit sia precipitato da centinaia a poche unità al mese, il numero complessivo degli attacchi ransomware da parte di tutti i gruppi ha continuato a salire. Anche se interruzioni anche di breve durata possono ostacolare le operazioni di qualsiasi gruppo e ridurre il numero delle vittime, le organizzazioni devono continuare a proteggersi dal ransomware e da altri attacchi a scopo di lucro.
|
Cosa fare: assicurati di poter rilevare i comuni infostealer come LummaC2, poiché spesso sono precursori di attacchi ransomware. |
Conclusione
La conoscenza del panorama delle minacce è fondamentale per difendersi efficacemente. Che si tratti di attacchi criminali o statali, l’intelligence tempestiva e accurata proveniente da fonti diverse è essenziale per valutare correttamente i rischi. Una buona attribuzione arricchisce le risposte difensive, rendendole più efficaci.
