Quando gli operatori del ransomware si nascondono dietro i dispositivi edge e le chat trapelate
Si riferisce che una banda di ransomware abbia fatto affidamento su falle di Fortinet e su un comando e controllo personalizzato, mentre i messaggi Rocket.Chat trapelati hanno aggiunto un secondo livello di intelligence, ma non una conclusione netta sull'attribuzione.
Introduzione
Un singolo percorso di intrusione può contare meno del modello che rivela. In questo caso, il dettaglio interessante non è solo l'accusa che un gruppo ransomware abbia abusato di falle di Fortinet, ma la combinazione di accesso a dispositivi edge, C2 su misura e una fuga di chat collegata a un gruppo russofono chiamato The Gentlemen. Questo mix indica un vantaggio criminale familiare: gli attaccanti non hanno bisogno di un exploit perfetto quando possono mettere insieme debolezze del perimetro, disciplina operativa e comunicazioni interne che in seguito diventano prove.
Fatti rapidi
- Una fuga di dati correlata al ransomware ha coinvolto 3.366 messaggi Rocket.Chat.
- Il materiale è stato collegato a un gruppo russofono noto come The Gentlemen.
- L'incidente è stato inquadrato attorno al presunto abuso di falle di Fortinet.
- Framework di comando e controllo personalizzati facevano parte della tattica operativa riportata.
- I dati della chat trapelati sono stati confrontati con dump Conti precedenti del 2022.
Corpo
Il dettaglio su Fortinet va letto con attenzione. Il materiale disponibile non nomina un prodotto, una versione o un CVE, quindi l'interpretazione più prudente è una possibile debolezza del piano di gestione o dell'autenticazione su un appliance perimetrale, non un singolo bug verificato. Questa distinzione conta perché
