Alla cifratura fraudolenta di dati e documenti fa seguito la richiesta di denaro. L’estorsione fa perno sulla inutilizzabilità di archivi elettronici e sistemi informatici e sul fatto che solo la disponibilità della “chiave” può infrangere la crittografia utilizzata dai vandali tecnologici.
Il Threat Analysis Group di Google ha beccato chi fa da intermediario per gli hacker russi e naturalmente anche per la micidiale banda “Conti”.
Il gruppo di “mediatori finanziari”, che Google chiama “Exotic Lily”, funge da punto di contatto per chi abbia cattive intenzioni, trova le organizzazioni vulnerabili e vende l’accesso alle loro reti al miglior offerente.
Questa “ricognizione” permette alle gang criminali come Conti di concentrarsi sulla fase di esecuzione di un attacco.
Exotic Lily raccoglie gli elementi conoscitivi per acquisire la possibilità di “accesso iniziale” tramite campagne e-mail, in cui il gruppo si è mascherato da organizzazioni e dipendenti legittimi attraverso l’uso di spoofing di dominio e identità.
Il più delle volte un “dominio” contraffatto è quasi identico al nome di dominio reale di un’organizzazione esistente. Per apparire come dipendenti legittimi, Exotic Lily ha creato profili sui social media corredate da immagini di volti umani generate da sistemi di intelligenza artificiale.
Questi banditi operano dall’Europa centrale o orientale e la circostanza sarebbe desumibile dall’orario di lavoro degli attori delle minacce. Le loro e-mail di spear-phishing hanno il pretesto di una proposta commerciale e prevedono un payload su un servizio pubblico di condivisione di file come come WeTransfer o Microsoft OneDrive.
I “signori” in questione sono legati ad un gruppo russo di criminalità informatica noto come Wizard Spider (o anche come UNC1878), che è collegato al famigerato ransomware Ryuk utilizzato per prendere di mira aziende, ospedali, inclusi gli Universal Health Services con sede negli Stati Uniti — e istituzioni governative fin dal 2018.
I ricercatori di Google sono convinti che “Exotic Lily” sia un’entità separata dai gruppi hacker che si servono di ransomware e che l’avvio della sua operatività risalga la settembre 2021.
