Smantellata l’infrastruttura del gruppo ransomware Radar/Dispossessor

In una comunicazione ufficiale del 12 agosto 2024, FBI Cleveland ha annunciato lo smantellamento di un gruppo ransomware indicato come Radar/Dispossessor.

La disattivazione dell’infrastruttura dell’avversario – composta da server localizzati in USA, UK e Germania e domini attivati in USA e Germania – è avvenuta a seguito di un’indagine internazionale condotta in collaborazione con la National Crime Agency del Regno Unito, la Procura di Bamberg (Germania), l’Ufficio di Polizia Criminale della Baviera (BLKA) e l’Ufficio del Procuratore degli Stati Uniti per il distretto settentrionale dell’Ohio. Dal comunicato stampa, pubblicato il 13 agosto sul sito del BLKA, si apprende che sono stati identificati dodici appartenenti al gruppo, provenienti da Germania, Ucraina, Russia, Kenya, Serbia, Lituania ed Emirati Arabi Uniti.

L’identikit fornito dalle autorità

Le autorità descrivono Radar/Dispossessor come un avversario, attivo da agosto 2023, che ha preso di mira aziende e organizzazioni di piccole e medie dimensioni operanti nei settori manifatturiero, dell’istruzione, sanitario, dei servizi finanziari e dei trasporti. Il numero totale delle vittime non è stato accertato. In ogni caso, è stato rilevato un focus iniziale su realtà degli Stati Uniti e, in seguito, sono state scoperte quarantatré vittime, corrispondenti ad aziende localizzate in molti Paesi, fra cui Argentina, Australia, Belgio, Brasile, Honduras, India, Canada, Croazia, Perù, Polonia, Regno Unito, Emirati Arabi Uniti e Germania.

Le TTP (Tecniche, Tattiche e Procedure) adottate ricalcano gli schemi tipici degli attacchi a doppia estorsione: individuazione di sistemi vulnerabili, protetti da password deboli o privi di autenticazione a due fattori; accesso ai sistemi ed elevazione dei privilegi; esfiltrazione dei dati; cifratura dei sistemi; richiesta di un riscatto.

Le analisi di alcuni ricercatori

Le analisi pubblicate in passato da diversi ricercatori hanno ricostruito un quadro più articolato, che attende ancora conferme. Secondo alcuni di essi, Radar e Dispossessor sarebbero due gruppi che collaborano, condividendo tool offensivi e profitti.

È stato ipotizzato che i membri di Dispossessor siano ex affiliati di LockBit Team, i quali, intorno a febbraio 2024, hanno attivato un proprio sito di brokeraggio, sul quale sono state messe in vendita informazioni precedentemente trapelate o rubate. Alcune di quelle informazioni sarebbero esito di compromissioni realizzate dai team CL0P (TA505), Hunters International, 8BASE e Snatch.

Il gruppo Radar, che inizialmente sarebbe stato un affiliato di ALPHV Team, si sarebbe poi alleato con Dispossessor, a seguito di problematiche simili a quelle che hanno portato alla migrazione di alcuni appartenenti ad ALPHV verso RansomHub Team.

Nel primo caso, il colosso americano dell’assistenza sanitaria Change Healthcare è stato ricattato da RansomHub dopo aver pagato un riscatto milionario ad ALPHV. In quello più recente, la vittima presa di mira, separatamente, da Radar e RansomHub sarebbe il Long Island Plastic Surgery.

L’infinita caccia agli avversari ransomware

L’operazione di agosto è solo l’ultima, in ordine di tempo, di una serie di azioni intentate contro avversari ransomware. Fra le più significative, spiccano quella di gennaio 2023 contro Hive Team, che ha portato al sequestro dei dati rubati e dei siti Tor per i leak, e Opearation Cronos, la quale ha temporaneamente bloccato le attività di LockBit Team.

Focus On è una serie di approfondimenti su temi e dati analizzati dal team di esperti del Cyber Intelligence Operations Center di TS-Way.

Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.

Produce informazioni su una vasta gamma di minacce cibernetiche e eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.

Scopri di più sui nostri servizi di Threat Intelligence