Arkana Sicurezza
Arkana è un gruppo ransomware di recente identificazione che ha fatto il suo debutto pubblico con un attacco aggressivo e di alto profilo contro WideOpenWest (WOW!), uno dei principali fornitori di servizi via cavo e banda larga degli Stati Uniti.
L'origine di Arkana
Arkana è un gruppo ransomware di recente identificazione che ha fatto il suo debutto pubblico con un attacco aggressivo e di alto profilo contro WideOpenWest (WOW!), un importante fornitore statunitense di servizi via cavo e banda larga. Nonostante la sua recente comparsa, la sofisticatezza operativa del gruppo suggerisce che potrebbe essere gestito da attori esperti nel campo delle minacce informatiche. Arkana opera secondo un modello ransomware in tre fasi (riscatto, vendita e divulgazione) incentrato su tattiche di estorsione e coercizione. Il linguaggio utilizzato sul loro sito Onion e nelle loro comunicazioni indica una possibile origine o affiliazione russa, anche se questo aspetto non è stato ancora verificato in modo definitivo.
La loro strategia non è solo tecnica, ma anche psicologica, e si basa su tattiche di umiliazione e doxxing aziendale per aumentare la pressione sulle vittime. L'uso da parte del gruppo di un "Muro della vergogna" pubblico e la diffusione di informazioni riservate sui dirigenti segna un cambiamento verso attacchi alla reputazione come parte del loro schema di estorsione.
Paesi target di Arkana
Sebbene non siano stati resi noti altri attacchi, quello sferrato da Arkana contro WOW!, una società con sede negli Stati Uniti, dimostra il loro interesse a prendere di mira entità occidentali, in particolare nordamericane. Il loro approccio suggerisce la volontà di sfidare organizzazioni consolidate in ambienti altamente regolamentati.
Settori di riferimento di Arkana
Arkana ha preso di mira principalmente il settore delle telecomunicazioni e dei servizi Internet, come dimostra il loro primo attacco noto contro WideOpenWest. Tuttavia, il loro modello incentrato sull'estorsione e le tecniche di sfruttamento delle infrastrutture suggeriscono che sono ben posizionati per attaccare qualsiasi settore che memorizza grandi quantità di dati personali, dati finanziari e gestisce sistemi backend critici.
Le vittime di Arkana
L'unica vittima confermata al momento è WideOpenWest (WOW!). Il gruppo ha dichiarato di aver avuto accesso a:
- Oltre 403.000 account clienti
- Piattaforme backend come AppianCloud e Symphonica
- Dati finanziari sensibili e dati personali identificativi
- Dati personali dei dirigenti, inclusi numeri di previdenza sociale, indirizzi e informazioni di contatto
Ciò indica un movimento laterale profondo e un'enfasi sui sistemi backend privilegiati, che potenzialmente consentono la distribuzione di ransomware su larga scala sugli endpoint dei clienti.
Le tecniche di attacco di Arkana
Probabilmente ottenuto sfruttando sistemi connessi a Internet o credenziali compromesse, possibilmente tramite vulnerabilità non corrette o phishing.
Ottenuto permessi elevati all'interno di piattaforme backend come AppianCloud; probabilmente sfruttato configurazioni errate specifiche della piattaforma o bypass dell'autenticazione.
Ha evitato il rilevamento mantenendo un accesso prolungato ai sistemi interni di WOW!; probabilmente ha disabilitato la registrazione o oscurato i modelli di accesso.
Ha avuto accesso a un ampio set di credenziali, inclusi nomi utente, password e risposte alle domande di sicurezza; utilizzato per il movimento laterale e la persistenza.
Servizi interni e API mappati (ad esempio, fatturazione, dati dei clienti), identificando obiettivi di alto valore come Symphonica e Appian.
Propagato attraverso i sistemi interni, comprese le API di fatturazione, i sistemi CRM e possibilmente i dispositivi controllati tramite Symphonica.
Sono state sottratte enormi quantità di dati, tra cui informazioni personali identificabili, dati di autenticazione e codice backend dai sistemi rivolti ai clienti.
Ha dichiarato di essere in grado di inviare malware ai dispositivi dei clienti tramite Symphonica; probabilmente utilizzando script personalizzati o payload tramite accesso al backend.
I dati sono stati probabilmente estratti nel corso del tempo e utilizzati nel processo di estorsione, compresa la pubblicazione di campioni e screenshot modificati.
Divulgazione pubblica dei dati rubati, doxxing dei dirigenti, danno alla reputazione, potenziale malware agli utenti finali.
Probabilmente ottenuto sfruttando sistemi connessi a Internet o credenziali compromesse, possibilmente tramite vulnerabilità non corrette o phishing.
Ottenuto permessi elevati all'interno di piattaforme backend come AppianCloud; probabilmente sfruttato configurazioni errate specifiche della piattaforma o bypass dell'autenticazione.
Ha evitato il rilevamento mantenendo un accesso prolungato ai sistemi interni di WOW!; probabilmente ha disabilitato la registrazione o oscurato i modelli di accesso.
Ha avuto accesso a un ampio set di credenziali, inclusi nomi utente, password e risposte alle domande di sicurezza; utilizzato per il movimento laterale e la persistenza.
Servizi interni e API mappati (ad esempio, fatturazione, dati dei clienti), identificando obiettivi di alto valore come Symphonica e Appian.
Propagato attraverso i sistemi interni, comprese le API di fatturazione, i sistemi CRM e possibilmente i dispositivi controllati tramite Symphonica.
Sono state sottratte enormi quantità di dati, tra cui informazioni personali identificabili, dati di autenticazione e codice backend dai sistemi rivolti ai clienti.
Ha dichiarato di essere in grado di inviare malware ai dispositivi dei clienti tramite Symphonica; probabilmente utilizzando script personalizzati o payload tramite accesso al backend.
I dati sono stati probabilmente estratti nel corso del tempo e utilizzati nel processo di estorsione, compresa la pubblicazione di campioni e screenshot modificati.
Divulgazione pubblica dei dati rubati, doxxing dei dirigenti, danno alla reputazione, potenziale malware agli utenti finali.
TTP utilizzati da Arkana
Come rilevare Arkana con Vectra AI
Domande frequenti
Che cos'è Arkana e in cosa si differenzia dagli altri gruppi di ransomware?
Arkana è un gruppo ransomware recentemente identificato che utilizza un modello di estorsione in tre fasi: riscatto, vendita e divulgazione. Combina il ransomware tradizionale con aggressivi attacchi di doxxing e alla reputazione.
Arkana è collegata a qualche gruppo noto di criminali informatici?
Non ci sono collegamenti confermati, ma il linguaggio e le tattiche suggeriscono una possibile origine russa o un allineamento con gli ecosistemi criminali informatici dell'Europa orientale.
Qual era la portata del loro attacco a WOW!?
Arkana sostiene di aver violato l'infrastruttura backend, sottratto oltre 403.000 account di clienti e ottenuto il controllo di piattaforme come Symphonica e AppianCloud.
Come ha ottenuto Arkana l'accesso iniziale?
Sebbene non confermato, i metodi più probabili includono phishing, il credential stuffing o lo sfruttamento di sistemi pubblici non aggiornati.
Quali tipi di dati sono stati rubati?
I dati includono nomi utente, password, numeri di previdenza sociale, informazioni sulle carte di credito, dettagli sui pacchetti di servizi, ID Firebase e preferenze di comunicazione via e-mail.
Arkana ha effettivamente distribuito un ransomware?
Operano come un gruppo dedito all'estorsione di dati, ma sostengono anche di poter inviare malware dispositivi dei clienti, il che suggerisce la possibilità di distribuire ransomware.
Come possono le organizzazioni individuare e rispondere a tali attacchi?
Implementare soluzioni di rilevamento e risposta alle minacce come Vectra AI. Monitorare le chiamate API insolite, gli accessi non autorizzati e l'esfiltrazione anomala dei dati. Applicare zero trust e MFA.
Arkana è ancora attiva?
Al momento, il loro sito Onion è operativo e hanno indicato solo WOW! come vittima, ma la loro infrastruttura suggerisce attività in corso e attacchi futuri.
Quali sono i rischi legali per le vittime di Arkana?
Le vittime potrebbero incorrere in sanzioni normative (ad esempio HIPAA, GDPR), azioni legali da parte dei clienti interessati e responsabilità civili collettive a causa della natura dei dati rubati.
Cosa possono fare le persone se sono colpite?
I clienti di WOW! devono:
- Abilita monitoraggio del credito
- Modifica password e domande di sicurezza
- Monitoraggio dei phishing e degli accessi non autorizzati agli account