Una delle più pericolose squadre di criminali informatici ha ampliato il suo arsenale includendo altri due payload di ransomware, come hanno rivelato gli esperti di sicurezza di Microsoft.
Un thread su X/Twitter pubblicato dai ricercatori di sicurezza informatica di Microsoft ha illustrato come Octo Tempest, noto per le sue "sofisticate tecniche di social engineering, compromissione dell'identità e persistenza", stia ora utilizzando RansomHub e Qilin.
Nel thread, i ricercatori di Microsoft hanno aggiunto che Octo Tempest di solito prende di mira i server VMWare ESXi e cerca di distribuire il ransomware BlackCat, quindi l'aggiunta dei nuovi payload, che a quanto pare è stato introdotto nel secondo trimestre del 2024, potrebbe essere dovuta al fatto che BlackCat è ormai defunto.
Nuovo, ma pericoloso
All'inizio di quest'anno, un affiliato del gruppo ha violato Change Healthcare ed è riuscito a estorcere alla società 22 milioni di dollari. Tuttavia, il denaro non ha mai raggiunto l'affiliato che ha effettuato la violazione ed è stato invece raccolto dal gruppo BlackCat, che hanno chiuso l'intera operazione e sono scomparsi.
L'affiliato, che era rimasto in possesso di gigabyte di informazioni sensibili, è poi andato su RansomHub, uno dei due payload ora utilizzati da Octo Tempest. Anche se è una piattaforma relativamente giovane nel gioco dei ransomware, RansomHub si sta facendo un nome, assumendo la responsabilità degli attacchi a Christie's, Rite Aid e NRS Healthcare.
Microsoft ha aggiunto che RansomHub è stato osservato nell'attività successiva alla compromissione da parte di Manatee Tempest, dopo l'accesso iniziale da parte di Mustard Tempest tramite le infezioni FakeUpdates/Socgholish.
Microsoft ha sollevato per la prima volta il coperchio su Octo Tempest nell'ottobre 2023, quando ha pubblicato un'analisi approfondita della minaccia, rivelando che gli hacker sono madrelingua inglesi, finanziariamente motivati, con ampie conoscenze, molta esperienza e zero scrupoli.
Octo Tempest si è formato all'inizio del 2022 e all'epoca era orientato soprattutto alla vendita di SIM swap e al furto di conti appartenenti a persone ricche di criptovalute. Pochi mesi dopo, il gruppo ha ampliato le sue operazioni e ha iniziato a praticare il phishing, l'ingegneria sociale e la reimpostazione di enormi quantità di password di fornitori di servizi violati.
