I ricercatori di sicurezza hanno recentemente scoperto un nuovo server “che ospita una grande riserva di file dannosi".
L'analisi mostra che gli attori maligni stanno prendendo di mira un certo numero di organizzazioni con l'aiuto di un server di comando e controllo. Questo server ospita i campioni di ransomware e punti vendita di malware, tra gli altri.
L'analisi effettuata da Cisco Talos ricercatori dimostra che gli aggressori erano “in grado di ottenere un profondo livello di accesso alle vittime’ infrastruttura". Il team di ricerca ha anche individuato alcuni dei bersagli, tra cui una società di produzione americana.
I ricercatori hanno scoperto “una grande varietà di file dannosi su questo server, che vanno dal ransomware come il DopplePaymer, alla carta di credito di acquisizione malware come i TinyPOS, così come alcune pale che eseguono codice consegnati direttamente dal comando e controllo (C2)."
La diversità dei dati che si trovano su questo server, mostra come gli attori minaccia può indirizzare una grande varietà di organizzazioni utilizzando la stessa infrastruttura. Gli strumenti e gli approcci dannosi rivelano un avversario pieno di risorse e sofisticato, che ha "un'infrastruttura diffusa condiviso tra diverse operazioni."
Due obiettivi individuati
Due gli obiettivi ultimi di questo avversario di risorse sono stati identificati durante l'analisi del server di comando e controllo. L'organizzazione prima mirato è un produttore di alluminio e acciaio grigliati con sede negli Stati Uniti. Questa società è stata mirata con ransomware.
Per l'identificazione del secondo obiettivo, i ricercatori hanno schierato un dump processo. Tuttavia, dettagli circa l'organizzazione vittima non sono stati rivelati nel rapporto.
Insomma, l'analisi rivela un attore minaccia sofisticata in grado di compromettere una varietà di organizzazioni, usando diversi campioni di malware. Uno degli obiettivi i ricercatori hanno identificato è stato attaccato da ransomware, ma l'attore minaccia può anche rubare i dati delle carte di credito tramite POS di malware.
Sulla base delle scoperte finora, sembra che l'attaccante sta preferendo medie imprese nel settore industriale. Durante la loro ricerca, i ricercatori hanno messo in contatto con diverse vittime potenziali per garantire che potevano rimediare.
Questo è un buon esempio di come un utente malintenzionato può essere diversi durante il loro uso delle infrastrutture e il loro uso di diversi strumenti, tecniche e procedure (TTP), i ricercatori concluso.