Rilevamento e risposta alle minacce di rete basati sull'intelligenza artificiale: approfondimenti da un leader del Magic Quadrant™ 2026 di Gartner®
Leggi il blog
Vectra AIè stata inserita tra i leader nel Magic Quadrant di Gartner per la gestione delle minacce alla rete (NDR) del 2026
Leggi il rapporto
Riga superiore con icona dell'hamburger
Icona dell'hamburger sulla riga centrale
Icona dell'hamburger in basso a destra
Gruppo di ransomware

Arkana Security

  1. Stato:
    Inattivo
  1. Stato:
    Inattivo

Arkana è un gruppo di ransomware di recente individuazione che ha fatto il suo debutto pubblico con un attacco aggressivo e di grande risonanza contro WideOpenWest (WOW!), uno dei principali fornitori statunitensi di servizi via cavo e a banda larga.

Individuare le TTP di Arkana
La tua organizzazione è al sicuro dagli attacchi del ransomware Arkana?
Contesto e obiettivi
TTP
Mappatura MITRE
Rilevamento
Domande frequenti
Guarda il briefing sulle minacce
CONTESTO
PAESI
SETTORI
VITTIME

Le origini di Arkana

Arkana è un gruppo di ransomware di recente identificazione che ha fatto il suo debutto pubblico con un attacco aggressivo e di grande risonanza contro WideOpenWest (WOW!), un importante fornitore statunitense di servizi via cavo e a banda larga. Nonostante la sua recente comparsa, la sofisticatezza operativa del gruppo suggerisce che possa essere guidato da autori di minacce esperti. Arkana opera secondo un modello di ransomware in tre fasi —Ransom, Sale e Leak— incentrato su tattiche di estorsione e coercizione. Il linguaggio utilizzato sul loro sito Onion e nelle loro comunicazioni indica potenziali origini o affiliazioni russe, sebbene ciò non sia stato ancora verificato in modo definitivo.

La loro strategia non è solo tecnica, ma anche psicologica, e si basa su tattiche intimidatorie e sulla divulgazione di dati personali (doxxing) per aumentare la pressione sulle vittime. L'uso da parte del gruppo di una "Bacheca della vergogna" pubblica e la diffusione di informazioni personali relative ai dirigenti segnano una svolta verso attacchi alla reputazione come parte del loro schema di estorsione.

Pagina web di Arkana Security

Immagine: SOCradar

Paesi in cui opera Arkana

Sebbene non siano stati resi noti altri attacchi, quello sferrato da Arkana contro WOW! — un’azienda con sede negli Stati Uniti — dimostra il loro interesse nel prendere di mira entità occidentali, in particolare nordamericane. Il loro approccio suggerisce la volontà di sfidare organizzazioni consolidate in contesti altamente regolamentati.

Vittime di Arkana Security

Settori di riferimento di Arkana

Arkana ha preso di mira principalmente il settore delle telecomunicazioni e dei servizi Internet, come dimostra il loro primo attacco noto ai danni di WideOpenWest. Tuttavia, il loro modello incentrato sull'estorsione e le tecniche di sfruttamento delle infrastrutture suggeriscono che siano in grado di attaccare qualsiasi settore che conservi grandi quantità di dati personali e finanziari e che gestisca sistemi di backend critici.

Arkana Security - La rivendicazione di "Wide Open West"

Telecommunications

Le vittime di Arkana

L'unica vittima confermata al momento è WideOpenWest (WOW!). Il gruppo ha dichiarato di aver ottenuto l'accesso a:

  • Oltre 403.000 account clienti
  • Piattaforme backend come AppianCloud e Symphonica
  • Dati finanziari e dati personali sensibili
  • Dati personali dei dirigenti, inclusi i numeri di previdenza sociale, gli indirizzi e le informazioni di contatto

Ciò denota un'ampia diffusione laterale e una particolare attenzione ai sistemi di backend privilegiati, il che potrebbe consentire la diffusione su larga scala di ransomware sugli endpoint dei clienti.

Metodo di attacco

Le tecniche di attacco di Arkana

Accesso iniziale
Escalation dei privilegi
Resistenza ed elusione delle difese
Accesso alle credenziali
Scoperta
Movimento laterale
Collezione
Esecuzione
Esfiltrazione
Impatto
Una figura oscura che getta un'ampia rete su un panorama digitale popolato da vari dispositivi, quali computer, smartphone e tablet. La rete simboleggia i tentativi dell'aggressore di individuare vulnerabilità o di ricorrere a phishing per ottenere un accesso non autorizzato.

Probabilmente ottenuto sfruttando sistemi esposti a Internet o credenziali compromesse, forse tramite vulnerabilità non corrette o phishing.

Una scala digitale che sale dall'icona di un utente standard verso una corona, simbolo dei privilegi amministrativi. Ciò rappresenta gli sforzi compiuti dall'autore dell'attacco per ottenere un livello di accesso più elevato all'interno del sistema.

Ha ottenuto autorizzazioni di livello superiore all'interno di piattaforme backend come AppianCloud; probabilmente ha sfruttato errori di configurazione specifici della piattaforma o ha aggirato i sistemi di autenticazione.

Un camaleonte che si mimetizza su uno sfondo digitale, circondato da una serie di zero e uno. Ciò rappresenta la capacità dell'autore dell'attacco di eludere i sistemi di sicurezza, cambiando tattica per confondersi con il normale traffico di rete.

È riuscito a eludere i controlli di sicurezza mantenendo un accesso prolungato ai sistemi interni di WOW!; è possibile che abbia disattivato la registrazione degli accessi o occultato i propri schemi di accesso.

Un ladro munito di un kit di grimaldelli che sta maneggiando una gigantesca serratura a forma di modulo di accesso, a simboleggiare i tentativi dell'aggressore di sottrarre le credenziali degli utenti per ottenere un accesso non autorizzato.

Ha ottenuto un ampio insieme di credenziali, tra cui nomi utente, password e risposte alle domande di sicurezza; utilizzate per il movimento laterale e la persistenza.

Una lente d'ingrandimento che si sposta su una mappa digitale di una rete, evidenziando file, cartelle e connessioni di rete. Questa immagine rappresenta la fase in cui gli aggressori esplorano l'ambiente per comprenderne la struttura e individuare dove si trovano i dati sensibili.

Abbiamo mappato i servizi interni e le API (ad esempio, fatturazione, dati dei clienti), individuando obiettivi di alto valore come Symphonica e Appian.

Una serie di nodi interconnessi tra cui si muove furtivamente una figura indistinta. Ciò illustra i movimenti dell'autore dell'attacco all'interno della rete, inteso a ottenere il controllo di ulteriori sistemi o a diffondere malware.

Diffusa nei sistemi interni, tra cui le API di fatturazione, i sistemi CRM ed eventualmente i dispositivi controllati tramite Symphonica.

Un grande aspirapolvere che risucchia file, icone di dati e cartelle in un sacco tenuto in mano da una figura indistinta. Questa immagine simboleggia il processo di raccolta di dati preziosi dalla rete di destinazione.

Sono state sottratte enormi quantità di dati, tra cui informazioni di identificazione personale, dati di autenticazione e codice di back-end dai sistemi rivolti ai clienti.

Una finestra del prompt dei comandi aperta su uno sfondo digitale, con del codice dannoso che viene digitato. Questa immagine rappresenta la fase in cui gli aggressori eseguono il loro payload dannoso all'interno del sistema compromesso.

Si sostiene che fosse in grado di inviare malware ai dispositivi dei clienti tramite Symphonica; è possibile che siano stati utilizzati script personalizzati o payload tramite l'accesso al backend.

Una serie di file viene trasferita tramite un canale segreto da un computer a un cloud da un teschio, a simboleggiare il trasferimento non autorizzato di dati verso una destinazione controllata dall'autore dell'attacco.

È probabile che i dati siano stati estratti nel corso del tempo e utilizzati nell'ambito del processo di estorsione, compresa la diffusione di campioni e screenshot modificati.

Uno schermo incrinato con alle spalle un panorama urbano digitale in preda al caos, che simboleggia l'impatto distruttivo di un attacco informatico, come l'interruzione dei servizi, la distruzione dei dati o le perdite finanziarie.

Divulgazione pubblica di dati rubati, doxxing dei dirigenti, danno alla reputazione, potenziale malware agli utenti finali.

Una figura oscura che getta un'ampia rete su un panorama digitale popolato da vari dispositivi, quali computer, smartphone e tablet. La rete simboleggia i tentativi dell'aggressore di individuare vulnerabilità o di ricorrere a phishing per ottenere un accesso non autorizzato.
Accesso iniziale

Probabilmente ottenuto sfruttando sistemi esposti a Internet o credenziali compromesse, forse tramite vulnerabilità non corrette o phishing.

Una scala digitale che sale dall'icona di un utente standard verso una corona, simbolo dei privilegi amministrativi. Ciò rappresenta gli sforzi compiuti dall'autore dell'attacco per ottenere un livello di accesso più elevato all'interno del sistema.
Escalation dei privilegi

Ha ottenuto autorizzazioni di livello superiore all'interno di piattaforme backend come AppianCloud; probabilmente ha sfruttato errori di configurazione specifici della piattaforma o ha aggirato i sistemi di autenticazione.

Un camaleonte che si mimetizza su uno sfondo digitale, circondato da una serie di zero e uno. Ciò rappresenta la capacità dell'autore dell'attacco di eludere i sistemi di sicurezza, cambiando tattica per confondersi con il normale traffico di rete.
Evasione difensiva

È riuscito a eludere i controlli di sicurezza mantenendo un accesso prolungato ai sistemi interni di WOW!; è possibile che abbia disattivato la registrazione degli accessi o occultato i propri schemi di accesso.

Un ladro munito di un kit di grimaldelli che sta maneggiando una gigantesca serratura a forma di modulo di accesso, a simboleggiare i tentativi dell'aggressore di sottrarre le credenziali degli utenti per ottenere un accesso non autorizzato.
Accesso alle credenziali

Ha ottenuto un ampio insieme di credenziali, tra cui nomi utente, password e risposte alle domande di sicurezza; utilizzate per il movimento laterale e la persistenza.

Una lente d'ingrandimento che si sposta su una mappa digitale di una rete, evidenziando file, cartelle e connessioni di rete. Questa immagine rappresenta la fase in cui gli aggressori esplorano l'ambiente per comprenderne la struttura e individuare dove si trovano i dati sensibili.
Scoperta

Abbiamo mappato i servizi interni e le API (ad esempio, fatturazione, dati dei clienti), individuando obiettivi di alto valore come Symphonica e Appian.

Una serie di nodi interconnessi tra cui si muove furtivamente una figura indistinta. Ciò illustra i movimenti dell'autore dell'attacco all'interno della rete, inteso a ottenere il controllo di ulteriori sistemi o a diffondere malware.
Movimento laterale

Diffusa nei sistemi interni, tra cui le API di fatturazione, i sistemi CRM ed eventualmente i dispositivi controllati tramite Symphonica.

Un grande aspirapolvere che risucchia file, icone di dati e cartelle in un sacco tenuto in mano da una figura indistinta. Questa immagine simboleggia il processo di raccolta di dati preziosi dalla rete di destinazione.
Collezione

Sono state sottratte enormi quantità di dati, tra cui informazioni di identificazione personale, dati di autenticazione e codice di back-end dai sistemi rivolti ai clienti.

Una finestra del prompt dei comandi aperta su uno sfondo digitale, con del codice dannoso che viene digitato. Questa immagine rappresenta la fase in cui gli aggressori eseguono il loro payload dannoso all'interno del sistema compromesso.
Esecuzione

Si sostiene che fosse in grado di inviare malware ai dispositivi dei clienti tramite Symphonica; è possibile che siano stati utilizzati script personalizzati o payload tramite l'accesso al backend.

Una serie di file viene trasferita tramite un canale segreto da un computer a un cloud da un teschio, a simboleggiare il trasferimento non autorizzato di dati verso una destinazione controllata dall'autore dell'attacco.
Esfiltrazione

È probabile che i dati siano stati estratti nel corso del tempo e utilizzati nell'ambito del processo di estorsione, compresa la diffusione di campioni e screenshot modificati.

Uno schermo incrinato con alle spalle un panorama urbano digitale in preda al caos, che simboleggia l'impatto distruttivo di un attacco informatico, come l'interruzione dei servizi, la distruzione dei dati o le perdite finanziarie.
Impatto

Divulgazione pubblica di dati rubati, doxxing dei dirigenti, danno alla reputazione, potenziale malware agli utenti finali.

MITRE ATT&CK

TTP utilizzati da Arkana

TA0001: Initial Access
T1566
Phishing
T1190
Exploit Public-Facing Application
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
No items found.
TA0004: Privilege Escalation
T1068
Exploitation for Privilege Escalation
TA0005: Defense Evasion
T1027
Obfuscated Files or Information
TA0006: Credential Access
T1110
Brute Force
T1003
OS Credential Dumping
TA0007: Discovery
T1087
Account Discovery
T1046
Network Service Discovery
TA0008: Lateral Movement
T1210
Exploitation of Remote Services
TA0009: Collection
T1213
Data from Information Repositories
TA0011: Command and Control
No items found.
TA0010: Exfiltration
T1567
Exfiltration Over Web Service
TA0040: Impact
T1485
Data Destruction
T1486
Data Encrypted for Impact
Rilevamenti della piattaforma

Come individuare Arkana con Vectra AI

Brute-Force

Privilege Anomaly: Unusual Host

Ransomware File Activity

Visualizza altri rilevamenti
Valuta la tua vulnerabilità agli attacchi

La tua organizzazione è al sicuro dagli attacchi del ransomware Arkana?

Valuta la tua vulnerabilità agli attacchi

Domande frequenti

Che cos'è Arkana e in cosa si differenzia dagli altri gruppi di ransomware?

Arkana è collegata a qualche gruppo noto di criminalità informatica?

Qual è stata la portata del loro attacco a WOW!?

In che modo Arkana è riuscita a ottenere l'accesso iniziale?

Quali tipi di dati sono stati rubati?

Arkana ha davvero diffuso un vero e proprio ransomware?

In che modo le organizzazioni possono individuare e reagire a tali attacchi?

Arkana è ancora attiva?

Quali sono i rischi legali per le vittime di Arkana?

Cosa possono fare le persone se si trovano in questa situazione?