L'editore di Elden Ring attaccato da un ransomware

L'editore di Elden Ring attaccato da un ransomware

Il gruppo ransomware BlackCat, noto anche come ALPHV, afferma di aver violato i sistemi di Namco Bandai, l'editore di videogiochi giapponese dietro titoli AAA come Elden Ring e Dark Souls.

La notizia è stata segnalata prima anche da Vx-underground e successivamente da due gruppi di watchdog del malware (Apre in una nuova scheda). BlackCat è uno dei ceppi di ransomware più popolari al mondo e ha persino attirato l'attenzione del Federal Breau of Investigation (FBI).

Tuttavia, Namco Bandai sta attualmente tacendo sulla questione, rendendo difficile confermare l'autenticità di queste affermazioni.

Nel mirino dell'FBI

Nell'aprile 2022, l'FBI ha emesso un avviso secondo cui il "nuovo ransomware virulento" di BlackCat aveva infettato almeno 60 diverse organizzazioni in due mesi. A quel tempo, l'FBI descrisse BlackCat come "ransomware-as-a-service" e affermò che il suo malware era scritto in Rust.

Mentre la maggior parte delle varietà di ransomware sono scritte in C o C++, l'FBI afferma che Rust è un "linguaggio di programmazione più sicuro che offre prestazioni migliorate e un'elaborazione simultanea affidabile".

BlackCat in genere richiede il pagamento in Bitcoin e Monero in cambio della chiave di decrittazione, e mentre le richieste sono in genere "nell'ordine dei milioni", ha spesso accettato pagamenti inferiori alla richiesta originale, secondo l'FBI.

Apparentemente il gruppo ha forti legami con Darkside e ha "vaste reti ed esperienza" nello sfruttamento di attacchi malware e ransomware (si apre in una nuova scheda).

Dopo aver ottenuto l'accesso iniziale agli endpoint di destinazione, il gruppo procederà alla compromissione degli account utente e amministratore di Active Directory e utilizzerà l'Utilità di pianificazione di Windows per configurare gli oggetti Criteri di gruppo (GPO) dannosi per distribuire il ransomware.

L'implementazione iniziale utilizza gli script di PowerShell, insieme a Cobalt Strike, e disabilita le funzionalità di sicurezza all'interno della rete della vittima.

Dopo aver scaricato e bloccato quanti più dati possibile, il gruppo cercherà di distribuire il ransomware su host aggiuntivi.

L'FBI consiglia di eseguire la scansione di controller di dominio, server, workstation e directory attive alla ricerca di account utente nuovi o non riconosciuti; eseguire backup dei dati regolari, eseguire la scansione dell'utilità di pianificazione per attività pianificate non riconosciute e richiedere le credenziali dell'amministratore per qualsiasi processo di installazione del software, come misura di mitigazione.

BlackCat si è anche unito di recente alla rete decentralizzata di attori malintenzionati di Conti e ha violato con successo i server Microsoft Exchange, più volte, per distribuire ransomware.

Via: PCGamer (si apre in una nuova scheda)