Marzo 2025 ha visto un'evoluzione significativa nelle tattiche di minaccia informatica, Con i gruppi di ransomware che adottano nuove tecniche e ampliano le loro operazioni. I ricercatori della sicurezza hanno identificato diverse minacce ad alto impatto questo mese, Compreso il passaggio di un gruppo di spionaggio aziendale al ransomware, Nuovi strumenti EDR Evasion, sofisticati attacchi dello stato-nazione, e campagne ingannevoli di phishing rivolto alle imprese. Questa analisi completa copre gli sviluppi più significativi della sicurezza informatica di cui i professionisti della sicurezza e le imprese dovrebbero essere a conoscenza.
Fonte: Dati analizzati da Unità di ricerca sulle minacce Acronis In combinazione con le valutazioni dell'impatto del settore
Redcurl si evolve: Il gruppo di spionaggio aziendale lancia la prima campagna Ransomware con QWCrypt
A marzo 26, 2025, I ricercatori della sicurezza hanno identificato che il famigerato gruppo di hacking Redcurl (Conosciuto anche come Earth Kapre e Red Wolf) si è spostato dalle sue tradizionali attività di spionaggio aziendale alla distribuzione di ransomware per la prima volta. Questo perno strategico segna un'evoluzione significativa nelle tattiche del gruppo, tecniche, e procedure (TTPS).
Analisi tecnica del ransomware QWCrypt
La ceppo di ransomware appena identificato, Chiamato QWCrypt, mira in particolare macchine virtuali, rendendolo particolarmente pericoloso per le organizzazioni con infrastrutture virtualizzate. La catena di attacco del malware inizia con sofisticate e-mail di phishing delle lance contenenti esche a tema HR. Queste e -mail offrono PDF dannosi e file ISO che si sidicano malware attraverso un legittimo Adobe eseguibile, sfruttando percorsi di applicazione affidabili per sfuggire al rilevamento.
| Fase di attacco | Dettagli tecnici |
|---|---|
| Accesso iniziale | E-mail di phishing di lancia con esche a tema HR contenenti PDF dannosi e file ISO |
| Esecuzione | Malware da scagliare tramite legittimo Adobe eseguibile |
| Persistenza | Modifiche del registro e attività programmate create con privilegi di sistema |
| Movimento laterale | Furto credenziale e sfruttamento di vulnerabilità non patch |
| Impatto | Crittografia di macchine virtuali, Rendere inoperabili intere infrastrutture |
Il design del ransomware sembra imitare elementi da gruppi affermati come Lockbit e Hardbit, potenzialmente confondere gli sforzi di attribuzione. In particolare, I ricercatori non hanno identificato un sito di perdite dedicato associato a questi attacchi, sollevare domande sul fatto che la domanda di riscatto sia autentica o se la distribuzione ransomware funge da distrazione dalle attività di spionaggio tradizionali del gruppo.
Obiettivi e distribuzione geografica
Redcurl ha preso di mira storicamente le organizzazioni in Canada, Germania, Norvegia, il Regno Unito, e gli Stati Uniti. Il passaggio del gruppo alle operazioni di ransomware amplia potenzialmente il suo profilo di minaccia dal furto di dati all'interruzione operativa in queste regioni.
EDRKILLSHIFTER: Lo strumento di evasione di sicurezza di RansomHub collega più gruppi di criminalità informatica
In uno sviluppo significativo monitorato per tutto il marzo, I ricercatori della sicurezza hanno scoperto connessioni tra tre gruppi separati di criminalità informatica attraverso il loro uso di uno strumento di evasione di sicurezza comune chiamato EDRKILLSHIFTER. Questo strumento, Sviluppato originariamente per le affiliate del ransomhub ransomware-as-a-service (Raas) operazione, sfrutta i driver vulnerabili per disabilitare il rilevamento e la risposta endpoint (EDR) software.
Capacità di strumento e dettagli tecnici
Edrkillshifter rappresenta un avanzato “Porta il tuo driver vulnerabile” (Byovd) Approccio alla disabilitazione delle difese di sicurezza. Lo strumento si rivolge ai driver di sistema legittimi ma vulnerabili, sfruttandoli per chiudere le misure di protezione all'interno del sistema operativo. Se distribuito con successo, Incluisce efficacemente gli strumenti di sicurezza ad attività dannose successive.
Un attore di minaccia appena identificato, Soprannominato quadwitcher, è stato osservato usando EDRKILLSHIFTER negli attacchi attribuiti a più gruppi di ransomware, Compreso:
- Ransomhub
- Gioca a ransomware
- Ransomware Medusa
- Bianlian Ransomware
I ricercatori hanno confermato la connessione tra questi gruppi analizzando i campioni di eDrkillshifter condivisi e l'infrastruttura del server di comando e controllo, Dimostrare come gli strumenti vengono condivisi attraverso diverse operazioni di ransomware.
Raccomandazioni sulla difesa
Poiché questi attacchi richiedono accesso amministrativo, Le organizzazioni possono implementare diverse misure preventive:
- Implementa il blocco del driver per i driver vulnerabili noti
- Utilizzare la funzione Blocklist del driver di Windows Defender per la protezione
- Monitorare gli eventi di caricamento del driver, in particolare quelli associati a strumenti di terze parti
- Distribuire soluzioni EDR avanzate in grado di rilevare i tentativi di disabilitare il software di sicurezza
- Implementare forti controlli di accesso per impedire agli aggressori di ottenere privilegi amministrativi
L'ascesa di EDR Killers evidenzia una tendenza relativa alle tattiche ransomware, mentre gli attori delle minacce si adattano continuamente a bypass difese di sicurezza sempre più sofisticate.
Gruppo APT cinese Famico famoso Evolve Attack Toolkit con Shadowpad
I ricercatori della sicurezza hanno identificato attacchi mirati contro gli Stati Uniti. Gruppo commerciale e un istituto di ricerca messicano attribuita alla minaccia persistente avanzata cinese (Apt) Gruppo Copigliato. La campagna, rilevato per la prima volta all'inizio di marzo 2025, implica lo spiegamento del backdoor Signature Sparrowdoor del gruppo al fianco del malware Shadowpad - segnando la prima istanza osservata di FocharSparrow usando questo particolare strumento.
Dettagli tecnici dell'attacco
L'analisi della campagna ha rivelato due nuove versioni di Sparrowdoor, compresa una variante modulare significativamente migliorata con capacità di esecuzione di comando migliorate. La sequenza di attacchi segue uno schema familiare per gli attori dello stato-nazione:
- Accesso iniziale: Sfruttamento di vulnerabilità di Windows Server e Microsoft Exchange obsolete
- Persistenza: Distribuzione di una sofisticata shell Web per il mantenimento dell'accesso
- Consegna del payload: Installazione di Sparrowdoor Backdoor e Malware Shadowpad
La versione modulare di Sparrowdoor supporta molteplici capacità avanzate, Compreso:
- Registrazione di tasti per furto di credenziali
- Trasferimento di file per esfiltrazione di dati
- Manipolazione del processo per mantenere la furtività
- Cattura del desktop remoto per la raccolta di intelligenza visiva
Shadowpad, Una backdoor modulare comunemente associata agli attori delle minacce sponsorizzate dallo stato cinesi, espande in modo significativo le capacità di FamousParrow, suggerendo una potenziale collaborazione o la condivisione degli strumenti tra gruppi APT cinesi.
AVVERTENZA dell'FBI: Convertitori di file falsi che rubano informazioni e distribuiscono ransomware
L'FBI Denver Field Office ha emesso un avvertimento urgente dopo aver osservato un aumento dei rapporti di falsi convertitori di documenti online utilizzati per rubare informazioni sensibili e distribuire ransomware. Questo avvertimento, emesso a marzo 20, 2025, mette in evidenza una tendenza riguardante target per utenti sia personali che aziendali.
Come funziona l'attacco
I criminali informatici creano siti Web ingannevoli che affermano di fornire servizi di conversione dei documenti gratuiti ma nascondono intenzioni dannose:
- Gli utenti che cercano gli strumenti di conversione dei documenti incontrano questi siti, Spesso promosso tramite Google Ads
- I siti sembrano legittimi e possono effettivamente fornire la funzionalità di conversione promessa
- Quando gli utenti caricano documenti per la conversione, I siti estraggono informazioni sensibili dal contenuto del file
- I file convertiti restituiti contengono malware incorporato che stabilisce un accesso remoto
- In casi più gravi, Il ransomware viene distribuito, crittografando i file della vittima
I ricercatori hanno identificato molteplici indicatori che aiutano a identificare questi siti di convertitori fraudolenti:
| Segnale di avvertimento | Dettagli |
|---|---|
| Età del dominio | In genere registrato nel passato 30 giorni |
| politica sulla riservatezza | Informazioni sulla privacy mancanti o estremamente vaghe |
| Informazioni sui contatti | Nessun dettaglio di contatto commerciale legittimo |
| Certificato SSL | Spesso utilizzando certificati gratuiti con convalida minima |
| Progettazione del sito web | Clone di servizi legittimi con piccole modifiche |
Il malware erogato attraverso questi servizi può estrarre una vasta gamma di informazioni sensibili, compresi i nomi, password, Semi di criptovaluta, e credenziali bancarie, portando a significative perdite finanziarie per le vittime.
Prevenire gli attacchi di convertitore falsi
Per proteggere da queste minacce, L'FBI raccomanda diverse misure preventive:
- Usa solo stabilito, Strumenti e servizi di conversione dei file affidabili
- Installa un software di sicurezza completo in grado di identificare siti Web dannosi
- Verifica la legittimità del sito Web prima di caricare documenti sensibili
- Prendi in considerazione l'uso di strumenti di conversione offline quando si gestiscono informazioni sensibili
- Eseguire il backup di file critici regolarmente per abilitare il recupero in caso di attacco ransomware
Per le imprese e le persone che sono già cadute vittime di queste truffe, un prompt Processo di rimozione del malware è essenziale per mitigare il danno potenziale.
Professionisti SEO presi di mira da una sofisticata campagna di phishing
Una campagna di phishing appena identificata si rivolge specificamente ai professionisti SEO che utilizzano annunci di Google semo. Semrush, Una piattaforma SaaS popolare che fornisce strumenti per SEO, Pubblicità online, e content marketing, viene impersonato in questa campagna molto mirata.
Dettagli e obiettivi della campagna
Gli analisti della sicurezza ritengono che un gruppo di minacce brasiliane sia alla base di questa campagna, che mira specificamente a catturare gli account di Google Ads per il lancio di ulteriori attacchi di malvertini. L'operazione dimostra una comprensione sofisticata dell'ecosistema di marketing digitale:
- Gli aggressori creano siti di phishing convincenti che imitano l'interfaccia di Semrush
- Questi siti usano nomi di dominio simili a Semrush ma con diversi domini di livello
- Le vittime sono costrette ad autenticare tramite “Accedi con Google” funzionalità
- Quando vengono inserite le credenziali, Gli aggressori ottengono l'accesso all'account Google della vittima
- Questo accesso consente il furto di dati aziendali sensibili da Google Analytics e Google Search Console
In uno sviluppo correlato, Un'altra campagna di phishing in corso è sfruttare i falsi annunci di DeepSeek nei risultati di ricerca di Google per consegnare gli Heracles Msil Trojan, un malware che ruba le informazioni che mirano a portafogli di criptovaluta. Questa campagna utilizza i risultati di ricerca di Google sponsorizzati per indirizzare le vittime su siti Web dannosi che distribuiscono l'infostealer.
Impatto e prevenzione del settore
Queste campagne di phishing evidenziano la natura in evoluzione degli attacchi mirati contro gruppi professionali specifici. I professionisti del marketing SEO e digitale dovrebbero implementare ulteriori misure di sicurezza, Compreso:
- Abilitazione dell'autenticazione a più fattori su tutti gli account Google
- Verificare attentamente l'URL delle pagine di accesso prima di inserire le credenziali
- Utilizzo dei gestori di password con funzionalità di rilevamento del phishing
- Essere scettici su Google Ads per i servizi software, anche quando appaiono in cima ai risultati di ricerca
- Implementazione della formazione di sensibilizzazione sulla sicurezza a livello aziendale su queste minacce specifiche
Le organizzazioni dovrebbero anche prendere in considerazione l'attuazione soluzioni di sicurezza globali Ciò può rilevare e bloccare i tentativi di phishing e i download di malware automaticamente.
Difesa coordinata: Rispondere al panorama delle minacce in evoluzione
Come dimostrano queste minacce, Le tattiche criminali informatiche continuano ad evolversi in raffinatezza e impatto. Le organizzazioni dovrebbero adottare un approccio di sicurezza a più livelli che include:
- Gestione della vulnerabilità: Mantenere un inventario aggiornato di sistemi e implementare patching regolare, in particolare per applicazioni rivolte a Internet come Microsoft Exchange.
- Sicurezza e -mail: Distribuire soluzioni di filtro e -mail avanzate per rilevare e bloccare i sofisticati tentativi di phishing, Soprattutto quelli che usano esche a tema HR.
- Soluzioni EDR/XDR: Implementare le moderne piattaforme di protezione degli endpoint in grado di rilevare e rispondere ai tentativi di disabilitare gli strumenti di sicurezza.
- Consapevolezza della sicurezza: Condurre una formazione regolare per i dipendenti, con particolare attenzione al riconoscimento di tentativi di phishing e siti Web sospetti.
- Pianificazione della risposta agli incidenti: Sviluppare e testare regolarmente le procedure di risposta agli incidenti per garantire un rapido contenimento e recupero in caso di violazione della sicurezza.
La convergenza delle operazioni ransomware, tattiche dello stato-nazione, e campagne di phishing mirate crea un ambiente di sicurezza impegnativo che richiede misure di vigilanza e di difesa proattive. Rimanendo informato sulle minacce emergenti e implementando adeguati controlli di sicurezza, Le organizzazioni possono ridurre la loro esposizione al rischio in questo panorama in evoluzione.
Per gli individui e le imprese preoccupate per le potenziali infezioni, Prendi in considerazione l'uso di strumenti come Dispositivo di rimozione trojan per scansionare ed eliminare il malware che potrebbe aver già compromesso i sistemi.