Come un errore da principiante del ransomware INC ha esposto i dati rubati di 12 aziende statunitensi
Una svista nella sicurezza operativa dei cybercriminali ha portato al recupero di enormi quantità di dati esfiltrati, offrendo una rara speranza alle vittime di ransomware.
In un colpo di scena degno di un cyber-thriller, la negligenza di una famigerata gang di ransomware ha permesso agli esperti di sicurezza di recuperare preziosi dati rubati da una dozzina di organizzazioni americane. Il gruppo ransomware INC, noto per attacchi di alto profilo e tattiche sofisticate, è stato messo nel sacco non da un complesso sistema di sicurezza, ma da un banale errore operativo che ha lasciato esposto il loro bottino digitale.
La storia è iniziata quando Cyber Centaurs, un’azienda di digital forensics e incident response, è stata chiamata dopo che un cliente statunitense aveva rilevato attività ransomware su un SQL Server di produzione. Quello che sembrava un attacco standard che utilizzava una variante chiamata RainINC si è presto trasformato in un’indagine più ampia quando gli analisti hanno scoperto tracce del legittimo strumento di backup Restic nell’ambiente compromesso.
Sebbene Restic non fosse utilizzato attivamente in questa specifica violazione, la sua presenza - e, cosa ancora più importante, script PowerShell e file di configurazione con credenziali hardcoded - ha fornito al team forense un indizio cruciale. Hanno ipotizzato che la gang INC stesse riutilizzando la stessa infrastruttura di backup per accumulare dati delle vittime cifrati in più campagne, senza smantellare questi repository di archiviazione dopo le trattative o i pagamenti del riscatto.
Esplorando con cautela l’infrastruttura esposta, Cyber Centaurs ha confermato il sospetto: il server di backup conteneva dati cifrati di dodici organizzazioni non correlate, nessuna delle quali era loro cliente. I settori colpiti includevano sanità, manifattura, tecnologia e servizi. Con l’aiuto delle forze dell’ordine, i ricercatori sono riusciti a decifrare e preservare i dati rubati, offrendo un’inaspettata ancora di salvezza alle vittime che pensavano che le loro informazioni fossero perse per sempre.
L’indagine ha inoltre rivelato l’ampiezza del toolkit di INC, inclusi binari rinominati (come winupdate.exe), automazione PowerShell e un assortimento di utility per accesso remoto e scansione di rete. Per aiutare i difensori in futuro, Cyber Centaurs ha pubblicato regole di rilevamento per individuare attività Restic sospette, potenzialmente consentendo alle organizzazioni di intercettare gli attacchi mentre sono in corso.
Il ransomware INC, che opera come ransomware-as-a-service (RaaS), è attivo da metà 2023 ed è collegato ad attacchi contro Yamaha Motor, NHS Scotland e diverse importanti istituzioni statunitensi. Questa svista operativa, tuttavia, mette in luce una vulnerabilità critica nel loro copione - e funge da avvertimento per i cybercriminali: anche la più piccola disattenzione può decretarne la fine.
Mentre le gang di ransomware diventano sempre più sofisticate, questo episodio ricorda che l’errore umano può ancora spostare l’ago della bilancia. Per difensori e vittime, vigilanza e competenze forensi restano armi potenti - talvolta persino più efficaci del codice degli stessi criminali.
WIKICROOK
- Sicurezza operativa (OpSec): La sicurezza operativa (OpSec) è la pratica di proteggere informazioni e attività sensibili dall’essere scoperte o sfruttate da avversari.
- Esfiltrazione: L’esfiltrazione è il trasferimento non autorizzato di dati sensibili dalla rete di una vittima a un sistema esterno controllato dagli attaccanti.
- PowerShell: PowerShell è uno strumento di scripting di Windows usato per l’automazione, ma gli attaccanti spesso lo sfruttano per eseguire azioni malevole in modo furtivo.
- Ransomware: Il ransomware è un software malevolo che cifra o blocca i dati, chiedendo un pagamento alle vittime per ripristinare l’accesso ai loro file o sistemi.
- Regole YARA e Sigma: Le regole YARA e Sigma sono strumenti usati dagli esperti di cybersecurity per rilevare malware e attività sospette nei file e nei log di sistema.




