Microsoft traccia un identikit di un nuovo e pericoloso gruppo hacker | Ecco le aziende a rischio

Un nuovo e pericoloso gruppo di hacker fa capolino all’interno delle notizie di tecnologia: parlano inglese, collaborano con i pericolosi hacker dell’est Europea e sembrano avere un livello di competenza pari solo alla varietà degli attacchi portati a termine. Octo Tempest è un nome che impararemo a conoscere (e temere) sempre più nei prossimi anni.

Gli appassionati di cybersicurezza tra i lettori si ricorderanno sicuramente di quanto, lo scorso anno, noi Italiani siamo tornati tra le luci della ribalta in seguito al GSE, il gestore italiano dei servizi energetici, diventato vittima di un particolare attacco hacker.

Oggi Microsoft, attraverso la sua divisione di sicurezza, ha pubblicato un ricco articolo di analisi in cui mette in guardia il mondo proprio da quel gruppo di hacker che ha portato a termine il sopracitato attacco. 

Il nome dell’avversario? Octo Tempest; il motivo per cui sono pericolosi? Perché a quanto pare ci sanno fare e sono molto abili.

Octo chi?

Affiliati al gruppo Blackcat e rivendicatori dell’attacco informatico di cui abbiamo parlato poco fa, Octa Tempest è un collettivo che per ottenere più denaro lancia campagne di hackeraggio ad ampio spettro. Secondo quanto scritto sul blog ufficiale di Microsoft Security,

Octo Tempest è finito sotto le lenti d’ingrandimento degli esperti di sicurezza quando, a inizio 2022, ha iniziato a portare avanti attacchi informatici particolarmente efficaci nei confronti di compagnie di telecomunicazioni o verso aziende che stava esternalizzando dei processi di vitale importanza.

Tra gli attacchi che sono risultati più fruttuosi per il collettivo troviamo, ad esempio, la vendita dei dati raccolti dalle schede SIM degli attacchi o le criptovalute racculte attraverso la movimentazione di denaro da conti colpiti da particolari tipologie di stratagemmi. Tutto ciò è reso possibile da un livello di competenza molto elevata, con una vasta conoscenza tanto del mondo informatico quanto delle tecniche di semplice ingegneria sociale. 

Attraverso l’utilizzo di messaggi di posta elettronica o sistemi di messaggistica istantanea, gli hacker cercano di accedere a informazioni riservate dei profili tecnici dell’organizzazione bersagliata. Una volta ottenuto l’accesso il gruppo inizia a portare avanti una fase di ricognizione, analizzando l’infrastruttura al fine di capire come accedere a posizioni di potere sempre più rilevanti, modificando la propria identità per poter accedere alle informazioni di maggiore rilevanza. 

Alleanze pericolose

A differenza di tanti gruppi specializzati in attacchi ransomware, Octo Tempest non utilizza la crittografia per rendere inaccessibili i dati che raccoglie; la tecnica è ancora più subdola: il gruppo hacker infatti minaccia di rendere disponibili al pubblico i dati raccolti a meno che il proprietario non paghi ricchi riscatti. Questa tattica diventa ancora più efficace quando i dati personali sono particolarmente sensibili, come nei casi di indirizzi di casa 

L’affiliazione di Octo Tempest con il gruppo ALPHV/BlackCat secondo quanto riportato da Microsoft è avvenuto durante i primi mesi dell’anno ed è risultata come una novità assoluta per un gruppo criminale est-europeo, visto che raramente accettano membri che parlano inglese. 

Octo Tempest si è fatta notare per aver realizzato attacchi in grado di influenzare tanto i sistemi Windows quanto quelli Linux, specie concentrandosi sui sistemi che sfruttano server di tipo VMWare ESXi. 

Per il momento i bersagli medi del gruppo di hacker si può riassumere nella seguente lista:

• aziende che trattano risorse naturali
• aziende che si occupano di turismo
• aziende videoludiche
• aziende che vendono prodotti lato consumer
• aziende specializzate nella distribuzione
• aziende legate al mondo della manifattura
• studi legali
• startup tecnologiche
• aziende che vendono servizi finanziari

Al termine della sua analisi Microsoft Security non ha fatto altro che invitare le aziende a eseguire controlli più approfonditi sugli accessi alle sue reti, cercando di limitare l’accesso ai file sensibili soltanto a determinati dipendenti diminuendo quindi i fattori di rischio. 

La nota spiega che ridurre il numero di utenti a cui vengono assegnati ruoli di importanza critica è al momento una delle poche cose che è possibile fare per cercare di difendersi dagli attacchi dei malintenzionati.

Proliferano gli hacker, quindi, e proliferano in una maniera leggermente più scorretta di quanto è stato fatto in precedenza. Restano fondamentali i corsi di aggiornamento in ambito cybersicurezza per minimizzare i rischi e, sopratutto, resta fondamentale la conoscenza del funzionamento degli attacchi anche da parte dei normali internauti: solo così sarà possibile scongiurare il problema anche senza apposita formazione.