Braincipher
Braincipher Ransomware è una variante della famiglia di ransomware LockBit che è recentemente emersa nel panorama della sicurezza informatica indonesiana.
L'origine del Brain Cipher
Il gruppo Brain Cipher ha attirato l'attenzione generale in seguito a un attacco di alto profilo al Centro dati nazionale indonesiano (Pusat Data Nasional - PDN) il 20 giugno 2024, che ha causato l'interruzione di servizi pubblici essenziali, tra cui l'immigrazione.
Nella dichiarazione pubblicata il 2 luglio 2024, il gruppo ha sottolineato che il proprio attacco era una dimostrazione dell'importanza di finanziare il settore della sicurezza informatica e di reclutare specialisti qualificati, affermando che le proprie azioni non erano motivate da ragioni politiche, ma piuttosto una forma di test di penetrazione post-pagamento.
Il gruppo ha mantenuto la promessa e ha reso disponibili gratuitamente le chiavi di decrittazione, consentendo alle vittime di ripristinare i propri dati crittografati senza dover pagare un riscatto.
Paesi presi di mira da Brain Cipher
Il gruppo ransomware ha già dimostrato in passato una preferenza per le organizzazioni del Sud-Est asiatico, in particolare dell'Indonesia. Tuttavia, con i recenti attacchi contro vittime negli Stati Uniti e in Israele, è evidente che le loro operazioni si stanno espandendo oltre questa regione.
Settori interessati da Brain Cipher
Brain Cipher ha preso di mira principalmente il settore pubblico, con particolare attenzione alle infrastrutture critiche. Recentemente ha esteso i propri attacchi anche ai settori finanziario e manifatturiero. L'attacco al PDN ha dimostrato la capacità del gruppo di interrompere servizi vitali, causando il caos diffuso e compromettendo la sicurezza pubblica.
Le vittime Brain Cipher
La vittima più nota del Brain Cipher fino ad oggi è il Pusat Data Nasional (PDN) in Indonesia. Questo attacco ha causato l'interruzione dei servizi di immigrazione e di altri servizi pubblici, colpendo 210 istituzioni. La portata complessiva delle vittime del gruppo è ancora oggetto di indagine.
Metodo di attacco Brain Cipher
Brain Cipher ottiene l'accesso iniziale tramite phishing . E-mail ingannevoli inducono i destinatari a scaricare ed eseguire file dannosi.
Il ransomware aggira il Controllo account utente (T1548.002) per ottenere privilegi elevati all'interno dei sistemi presi di mira.
Analogamente alle sue tecniche di elevazione dei privilegi, aggira il Controllo account utente (T1548.002) per evitare il rilevamento da parte dei sistemi di sicurezza.
Brain Cipher i cookie delle sessioni web (T1539), le credenziali dai browser web (T1555.003) e le credenziali memorizzate nei file (T1552.001) per infiltrarsi ulteriormente nella rete.
Brain Cipher il rilevamento delle informazioni di sistema (T1082), interroga il registro (T1012) e rileva il software installato (T1518) per mappare l'ambiente infetto.
Il ransomware si muove lateralmente all'interno della rete per massimizzare il suo impatto, anche se le tecniche specifiche per questa fase non sono descritte in dettaglio.
Raccoglie informazioni sensibili dai sistemi infetti, preparandosi per una potenziale esfiltrazione dei dati.
Brain Cipher Windows Command Shell (T1059.003) e l'esecuzione da parte dell'utente di file dannosi (T1204.002) per eseguire i propri payload.
Si dedica alla doppia estorsione sottraendo dati sensibili e minacciando di renderli pubblici se il riscatto non viene pagato.
La principale tattica di impatto è la crittografia dei dati (T1486), che rende inaccessibili i dati della vittima fino al pagamento del riscatto.
Brain Cipher ottiene l'accesso iniziale tramite phishing . E-mail ingannevoli inducono i destinatari a scaricare ed eseguire file dannosi.
Il ransomware aggira il Controllo account utente (T1548.002) per ottenere privilegi elevati all'interno dei sistemi presi di mira.
Analogamente alle sue tecniche di elevazione dei privilegi, aggira il Controllo account utente (T1548.002) per evitare il rilevamento da parte dei sistemi di sicurezza.
Brain Cipher i cookie delle sessioni web (T1539), le credenziali dai browser web (T1555.003) e le credenziali memorizzate nei file (T1552.001) per infiltrarsi ulteriormente nella rete.
Brain Cipher il rilevamento delle informazioni di sistema (T1082), interroga il registro (T1012) e rileva il software installato (T1518) per mappare l'ambiente infetto.
Il ransomware si muove lateralmente all'interno della rete per massimizzare il suo impatto, anche se le tecniche specifiche per questa fase non sono descritte in dettaglio.
Raccoglie informazioni sensibili dai sistemi infetti, preparandosi per una potenziale esfiltrazione dei dati.
Brain Cipher Windows Command Shell (T1059.003) e l'esecuzione da parte dell'utente di file dannosi (T1204.002) per eseguire i propri payload.
Si dedica alla doppia estorsione sottraendo dati sensibili e minacciando di renderli pubblici se il riscatto non viene pagato.
La principale tattica di impatto è la crittografia dei dati (T1486), che rende inaccessibili i dati della vittima fino al pagamento del riscatto.
TTP utilizzati da Brain Cipher
Come rilevare Brain Cipher Vectra AI
Elenco delle rilevazioni disponibili nella Vectra AI che potrebbero indicare un attacco ransomware.
Domande frequenti
Che cos'è Brain Cipher ?
Brain Cipher un gruppo di ransomware noto per prendere di mira grandi organizzazioni e causare gravi interruzioni attraverso la crittografia dei dati e richieste di riscatto.
Come ottiene Brain Cipher l'accesso iniziale?
Il gruppo utilizza principalmente phishing per indurre le vittime a scaricare ed eseguire file dannosi.
Quali sono i settori più a rischio di Brain Cipher ?
Le organizzazioni del settore pubblico e le infrastrutture critiche sono ad alto rischio, come dimostra l'attacco al Centro dati nazionale dell'Indonesia.
Quali misure difensive possono adottare le organizzazioni contro Brain Cipher?
L'implementazione di corsi di formazione phishing , l'utilizzo endpoint avanzate endpoint e il mantenimento di patch di sicurezza aggiornate possono aiutare a mitigare il rischio.
In che modo Brain Cipher elude il rilevamento?
Bypassa il Controllo account utente e utilizza strumenti di sistema legittimi come Windows Command Shell per evitare il rilevamento.
Cosa dovrebbe fare un'organizzazione se viene infettata da Brain Cipher?
Isolare i sistemi colpiti, avvisare le forze dell'ordine e consultare esperti di sicurezza informatica prima di prendere in considerazione il pagamento del riscatto.
Brain Cipher è Brain Cipher nell'esfiltrazione di dati?
Sì, Brain Cipher doppia estorsione sottraendo dati e minacciando di divulgarli se il riscatto non viene pagato.
Quanto è stato significativo l'attacco al Centro dati nazionale indonesiano?
L'attacco ha interrotto i servizi di immigrazione e ha colpito 210 istituzioni, evidenziando la capacità del ransomware di avere un impatto su larga scala.
Qual è il ruolo delle soluzioni Extended Detection and Response (XDR) nella lotta contro Brain Cipher?
Le soluzioni XDR offrono funzionalità complete di rilevamento e risposta alle minacce, aiutando a identificare e mitigare gli attacchi ransomware come quelli condotti da Brain Cipher.
Brain Cipher presenta somiglianze con altri gruppi di ransomware?
Brain Cipher presenta diverse somiglianze con LockBit 3.0, come le tecniche di crittografia avanzate e le strategie di doppia estorsione.