Aggiornamenti STORMOUS ransomware: attacco a Godrej

Tracciando questo recente gruppo criminale, maggiormente dedito al ransomware, ho raccolto due importanti aggiornamenti sugli ultimi fatti che lo riguardano.

Per avere una panoramica delle attività svolte da questo gruppo, questi due miei articoli precedenti, coprono un significativo numero di attività già svolte negli ultimi mesi:

  • La cyber guerra degli Emirati Arabi: STORMOUS

  • STORMOUS Ransomware, altri hack e servizi in vendita


    Negli ultimi giorni il gruppo invece fa menzione di un innovativo servizio Blockchain. Sfruttando vulnerabilità non note nella generazione dei Bitcoin, questo servizio consentirebbe a chiunque, di recapitare nel proprio wallet, quantità di cripto moneta che vanno da 0.1 a 2.5 BTC. Il servizio sponsorizzato da STORMOUS si chiama Bitcoin Generator Exploit, sta sotto rete Tor e risponde a questo indirizzo: hxxp://bge44uvwaacmrt4zljjak3ov73paldzw6pcyxza4o2lht3opcjvfpjad.onion/

Di cosa si tratta?

Nello specifico è una vetrina, dinamica, che presenta una chat e un campo da valorizzare con il proprio indirizzo di wallet bitcoin, completo di tutti i suggerimenti per crearne uno, in caso di necessità. Una volta valorizzato il campo, il sito presenta un QRcode con il quale recapitare una certa fee (economica: solo 0.00324 BTC) per il servizio svolto. Solo dopo questo pagamento, il servizio promette di recapitare nel wallet indicato, la quantità di Bitcoin richiesta (che potrebbe variare, dicono nelle note).

L’unica riflessione che mi sento di fare in merito è questa: nessuno regala qualcosa per niente. Fate molta attenzione a servizi come questi. La fee è una commissione sicura, seppur bassa, il ritorno del Bitcoin richiesto è del tutto ignoto.

L’attacco a Godrej

Godrej Group è una grande realtà multinazionale con sede in India, che si occupa di fornitura di servizi in diverse aree di settore: immobiliare, sicurezza, ingegneria industriale etc. Il gruppo STORMOUS ne ha rivendicato ieri l’attacco con pochi sample e la richiesta di riscatto.

Si comunica di essere in possesso di chiavi private, accessi proxy a circuiti di video sorveglianza, documenti sensibili di ogni genere (anche protetti da segretezza) in 7 differenti aree dell’azienda.

La richiesta di riscatto ammonta a 700.000 dollari e il gruppo è pronto a trattare anche prolungando i termini di scadenza dell’offerta. Dopo di che sarà pronto a rilasciare il tutto pubblicamente, senza alcuna crittografia. Compresi i dati di accesso (che nello specifico verranno venduti).

Dario Fadda

IT & Security blogger per passione. Nel 2003 ho fondato Spcnet.it. Dal 2006 sono membro attivo del Gulch (Gruppo Utenti Linux Cagliari). Oggi scrivo qui e nella pagina "La Stampa dice" trovate i miei contributi per le testate giornalistiche. Per tutto il resto c'è dariofadda.it che contiene "quasi" tutto di me.

Vuoi commentare? Accendi la discussione

Torna in alto