Se stai cercando l'istanza Mastodon di inSicurezzaDigitale puoi cliccare questa barra (mastodon.insicurezzadigitale.com)

Gli “hacker” di Andariel utilizzano il ransomware Maui per guadagni e frodi finanziarie

Importante numero di segnali correlati fanno percepire attribuzioni in comune tra il ransomware Maui e il gruppo Andariel. Le ricerche di intelligence sul codice malware è il primo passo per l’identificazione criminale

Un gruppo di hacker sponsorizzato dallo stato nordcoreano, Andariel, è stato collegato al ransomware Maui. Il gruppo sta lavorando per guadagni finanziari, oltre a causare interruzioni e disfunzionamenti in Corea del Sud.

Maui e Andariel collegamento

I ricercatori di Kaspersky hanno osservato le TTP (tecniche, tattiche e procedure) utilizzate in un incidente ransomware Maui e ne hanno trovato similarità con l’attività passata di Andariel (aka Stonefly/Silent Chollima).

  • Entrambi hanno utilizzato strumenti proxy e tunneling originali dopo l’infezione iniziale o per mantenere l’accesso e hanno utilizzato script Powershell insieme a Bitsadmin per scaricare più minacce.
  • Un uso simile di exploit per prendere di mira difetti noti ma senza patch nei servizi pubblici. Ad esempio, server WebLogic e HFS.
  • Hanno distribuito esclusivamente DTrack, (aka Preft), e quindi il tempo trascorso all’interno delle reti delle vittime è durato mesi prima di qualsiasi attività.
  • Inoltre, gli aggressori avevano distribuito ransomware in tutto il mondo, implicando le loro continue motivazioni finanziarie e il loro interesse.

Di recente, l’FBI ha emesso avvertimenti in merito al ransomware Maui e ha condiviso IoC (indicatori di compromissione) che puntano il dito contro gli attori delle minacce nordcoreani.

Uso di DTrack e 3Proxy

In un altro attacco di Andariel, la vittima è stata colpita utilizzando il malware DTrack poche ore prima della crittografia. L’analisi del registro ha ulteriormente rivelato l’esistenza e l’uso dello strumento 3Proxy nella rete dell’azienda mesi prima.

  • DTrack è un malware modulare utilizzato nel furto di dati e nell’esfiltrazione HTTP utilizzando i comandi di Windows. 3Proxy è un’utilità server proxy open source utilizzata in più campagne Andariel.
  • Gli aggressori hanno utilizzato il ransomware Maui per crittografare i server nei servizi sanitari, come cartelle cliniche elettroniche, servizi di diagnostica, servizi di imaging e servizi intranet.

La variante DTrack utilizzata negli attacchi contro aziende giapponesi, russe, indiane e vietnamite aveva una somiglianza del codice dell’84% con i campioni direttamente collegati alle precedenti operazioni di Andariel.


L’operazione di ransomware Maui apparentemente ha una connessione con Andariel. Pertanto, l’utilizzo degli IoC forniti può essere utile per il rilevamento e la prevenzione in tempo reale. Le organizzazioni dovrebbero sfruttare i servizi di intelligence sulle minacce per identificare rapidamente i TTP e ottenere suggerimenti sulla soluzione migliore contro tali minacce.