La sicurezza informatica si trova sempre più spesso di fronte a minacce sofisticate e in continua evoluzione: tra queste, il malware Remote Access Trojan (RAT) noto come SharpRhino si è recentemente guadagnato l’attenzione della Threat Research Unit (TRU) di Acronis.
Questo RAT è utilizzato dal gruppo di hacker Hunters International, un attore malevolo di rilievo che si distingue per il suo approccio metodico e il livello di sofisticazione degli attacchi. L’attività di questo gruppo dimostra come le vecchie tecniche possano essere reinventate per affrontare i moderni sistemi di difesa.
Indice degli argomenti
Chi sono gli Hunters International?
Gli Hunters International sono un gruppo di cyber criminali emersi nel panorama globale intorno al 2023.
La loro attività si concentra principalmente sul modello del Ransomware-as-a-Service (RaaS), un business che consente loro di monetizzare rapidamente le infezioni malware attraverso la collaborazione con affiliati.
Le analisi tecniche indicano che il gruppo potrebbe avere radici o connessioni con l’ormai defunto gruppo Hive, noto per operazioni ransomware di vasta portata.
La struttura organizzativa degli Hunters International sembra basata su modelli consolidati, ma con un’attenzione particolare all’innovazione e alla personalizzazione degli strumenti di attacco. La loro capacità di adattarsi a nuovi scenari li rende una delle minacce più temute dagli esperti di cyber security.
SharpRhino: il malware RAT
Il malware SharpRhino è al centro delle recenti attività degli Hunters International. Questo trojan si presenta come un software legittimo, spesso distribuito attraverso installer creati con il Nullsoft Scriptable Install System (NSIS), uno strumento comunemente usato per sviluppare pacchetti di installazione.
Gli aggressori sfruttano questa tecnologia per mascherare il malware, rendendo difficile per le vittime riconoscerlo come una minaccia.
Modalità di distribuzione
La distribuzione di SharpRhino avviene principalmente tramite tecniche di social engineering e campagne di phishing. Gli utenti vengono indotti a scaricare e installare l’installer infetto, che include:
- Un archivio protetto da password, contenente i file malevoli.
- File aggiuntivi progettati per eseguire comandi specifici una volta lanciato il malware.
Questa strategia è particolarmente efficace poiché sfrutta la fiducia dell’utente nei confronti di software apparentemente legittimi.
Funzionalità del malware
Una volta installato, SharpRhino concede agli aggressori accesso remoto completo al sistema compromesso.
Le sue principali capacità includono:
- Esecuzione remota di comandi: gli attaccanti possono lanciare comandi arbitrari sul dispositivo della vittima.
- Propagazione nella rete: il malware si diffonde attraverso la rete aziendale, sfruttando vulnerabilità o credenziali compromesse.
- Installazione di strumenti addizionali: gli aggressori utilizzano SharpRhino come punto d’ingresso per distribuire altri malware, spesso progettati per il furto di informazioni sensibili o per il sabotaggio dei sistemi.
- Persistenza: tecniche avanzate permettono al trojan di rimanere attivo anche dopo un riavvio del sistema o interventi di mitigazione iniziali.
Obiettivi degli attacchi
Gli obiettivi principali del gruppo Hunters International includono:
- Enti governativi: per ottenere informazioni riservate o interrompere operazioni critiche.
- Grandi aziende: per estorcere denaro tramite ransomware o rubare dati preziosi.
- Piccole e medie imprese (PMI): spesso meno protette, rappresentano bersagli facili per testare nuovi strumenti e strategie.
Impatto e rischi
Le infezioni da SharpRhino possono avere conseguenze devastanti, tra cui:
- Perdite finanziarie: derivanti da estorsioni ransomware, tempi di inattività e costi di ripristino.
- Danni reputazionali: la compromissione dei dati sensibili può minare la fiducia dei clienti.
- Violazioni legali: il mancato rispetto delle normative sulla protezione dei dati, come il GDPR, può comportare pesanti sanzioni.
Mitigazione e difesa
Per contrastare le minacce poste da SharpRhino e dagli Hunters International, le organizzazioni devono adottare un approccio proattivo alla sicurezza.
Alcune raccomandazioni includono:
- Educazione e consapevolezza: formare il personale per riconoscere tentativi di phishing e altre tecniche di social engineering.
- Soluzioni di sicurezza avanzate: implementare strumenti di protezione come EDR (Endpoint Detection and Response) e SIEM (Security Information and Event Management).
- Patch management: mantenere tutti i software aggiornati per ridurre le vulnerabilità sfruttabili.
- Segmentazione della rete: limitare la propagazione del malware attraverso la segmentazione delle reti aziendali.
- Backup regolari: garantire la disponibilità di copie di sicurezza per un rapido ripristino in caso di attacco.
Conclusioni
SharpRhino rappresenta una minaccia significativa, non solo per la sua sofisticazione tecnica, ma anche per la sua capacità di adattarsi ai sistemi di difesa esistenti.
L’evoluzione delle tattiche degli Hunters International sottolinea la necessità di un approccio integrato alla cyber security, che combini tecnologia avanzata, processi efficaci e formazione continua.
Rimanere aggiornati sulle ultime minacce e adottare una strategia di difesa multilivello sono passi fondamentali per proteggere le organizzazioni da attacchi sempre più complessi.
La ricerca della TRU di Acronis serve come importante monito per l’intero settore, evidenziando che, anche di fronte a minacce vecchie reinventate, la resilienza è la chiave per mitigare i rischi e salvaguardare le risorse critiche.