Braincipher
Braincipher Ransomware è una variante della famiglia di ransomware LockBit che è recentemente comparsa nel panorama della sicurezza informatica indonesiana.
L'origine del Brain Cipher
Il gruppo Brain Cipher ha attirato l'attenzione di tutti in seguito a un attacco di grande risonanza sferrato il 20 giugno 2024 contro il Centro Nazionale Dati (Pusat Data Nasional - PDN) dell'Indonesia, che ha causato l'interruzione di servizi pubblici essenziali, tra cui quelli relativi all'immigrazione.
Nel comunicato pubblicato il 2 luglio 2024, il gruppo ha sottolineato che il proprio attacco era una dimostrazione dell'importanza di finanziare il settore della sicurezza informatica e di assumere specialisti qualificati, affermando che le proprie azioni non erano motivate da ragioni politiche, ma costituivano piuttosto una forma di test di penetrazione a pagamento.
Il gruppo ha mantenuto la promessa e ha reso disponibili gratuitamente le chiavi di decrittazione, consentendo alle vittime di recuperare i propri dati crittografati senza dover pagare alcun riscatto.
Paesi interessati da Brain Cipher
Il gruppo di ransomware ha già dimostrato in passato di privilegiare come bersagli le organizzazioni del Sud-Est asiatico, in particolare quelle indonesiane. Tuttavia, alla luce dei recenti attacchi sferrati contro vittime negli Stati Uniti e in Israele, è evidente che le loro operazioni si stanno espandendo oltre i confini di questa regione.
Settori di riferimento di Brain Cipher
Brain Cipher ha preso di mira principalmente il settore pubblico, concentrandosi in particolare sulle infrastrutture critiche. Recentemente ha esteso i propri attacchi anche ai settori finanziario e manifatturiero. L'attacco al PDN ha dimostrato la capacità del gruppo di compromettere servizi essenziali, provocando un caos generalizzato e compromettendo la sicurezza pubblica.
Le vittime Brain Cipher
La vittima più importante del Brain Cipher finora è il Pusat Data Nasional (PDN) in Indonesia. L'attacco ha causato l'interruzione dei servizi di immigrazione e di altri servizi pubblici, con ripercussioni su 210 istituzioni. La portata complessiva delle vittime del gruppo è ancora oggetto di indagine.
Il metodo di attacco Brain Cipher
Brain Cipher ottiene l'accesso iniziale tramite phishing . E-mail ingannevoli inducono i destinatari a scaricare ed eseguire file dannosi.
Il ransomware aggira il Controllo account utente (T1548.002) per ottenere privilegi elevati all'interno dei sistemi presi di mira.
Analogamente alle sue tecniche di escalation dei privilegi, aggira il Controllo account utente (T1548.002) per eludere il rilevamento da parte dei sistemi di sicurezza.
Brain Cipher i cookie delle sessioni web (T1539), le credenziali dai browser web (T1555.003) e le credenziali memorizzate nei file (T1552.001) per infiltrarsi ulteriormente nella rete.
Brain Cipher il rilevamento delle informazioni di sistema (T1082), interroga il registro (T1012) e individua i software installati (T1518) per tracciare una mappa dell'ambiente infetto.
Il ransomware si diffonde lateralmente all'interno della rete per massimizzare il proprio impatto, sebbene le tecniche specifiche utilizzate in questa fase non siano descritte in dettaglio.
Raccoglie informazioni sensibili dai sistemi infetti, in vista di una potenziale esfiltrazione dei dati.
Brain Cipher la shell di comando di Windows (T1059.003) e l'esecuzione di file dannosi da parte dell'utente (T1204.002) per eseguire i propri payload.
Si rende responsabile di doppia estorsione sottraendo dati sensibili e minacciando di renderli pubblici qualora il riscatto non venga pagato.
La principale tecnica di attacco è la crittografia dei dati a scopo ricattatorio (T1486), che rende i dati della vittima inaccessibili fino al pagamento del riscatto.
Brain Cipher ottiene l'accesso iniziale tramite phishing . E-mail ingannevoli inducono i destinatari a scaricare ed eseguire file dannosi.
Il ransomware aggira il Controllo account utente (T1548.002) per ottenere privilegi elevati all'interno dei sistemi presi di mira.
Analogamente alle sue tecniche di escalation dei privilegi, aggira il Controllo account utente (T1548.002) per eludere il rilevamento da parte dei sistemi di sicurezza.
Brain Cipher i cookie delle sessioni web (T1539), le credenziali dai browser web (T1555.003) e le credenziali memorizzate nei file (T1552.001) per infiltrarsi ulteriormente nella rete.
Brain Cipher il rilevamento delle informazioni di sistema (T1082), interroga il registro (T1012) e individua i software installati (T1518) per tracciare una mappa dell'ambiente infetto.
Il ransomware si diffonde lateralmente all'interno della rete per massimizzare il proprio impatto, sebbene le tecniche specifiche utilizzate in questa fase non siano descritte in dettaglio.
Raccoglie informazioni sensibili dai sistemi infetti, in vista di una potenziale esfiltrazione dei dati.
Brain Cipher la shell di comando di Windows (T1059.003) e l'esecuzione di file dannosi da parte dell'utente (T1204.002) per eseguire i propri payload.
Si rende responsabile di doppia estorsione sottraendo dati sensibili e minacciando di renderli pubblici qualora il riscatto non venga pagato.
La principale tecnica di attacco è la crittografia dei dati a scopo ricattatorio (T1486), che rende i dati della vittima inaccessibili fino al pagamento del riscatto.
TTP utilizzati da Brain Cipher
Come individuare Brain Cipher Vectra AI
Elenco dei rilevamenti disponibili nella Vectra AI che potrebbero indicare un attacco ransomware.
Domande frequenti
Cos'è Brain Cipher ?
Brain Cipher un gruppo di ransomware noto per prendere di mira grandi organizzazioni e causare gravi disagi attraverso la crittografia dei dati e le richieste di riscatto.
In che modo Brain Cipher ottiene l'accesso iniziale?
Il gruppo ricorre principalmente a phishing per indurre le vittime a scaricare ed eseguire file dannosi.
Quali sono i settori più a rischio di Brain Cipher ?
Le organizzazioni del settore pubblico e le infrastrutture critiche sono esposte a un rischio elevato, come dimostra l'attacco al Centro nazionale dati indonesiano.
Quali misure difensive possono adottare le organizzazioni contro Brain Cipher?
L'attuazione di corsi di formazione phishing , l'utilizzo endpoint avanzate endpoint e l'aggiornamento costante delle patch di sicurezza possono contribuire a ridurre il rischio.
In che modo Brain Cipher riesce a eludere i sistemi di rilevamento?
Bypassa il Controllo account utente e utilizza strumenti di sistema legittimi, come la shell di comando di Windows, per evitare di essere individuato.
Cosa dovrebbe fare un'organizzazione se venisse infettata da Brain Cipher?
Isolare i sistemi colpiti, avvisare le forze dell'ordine e consultare esperti di sicurezza informatica prima di prendere in considerazione il pagamento del riscatto.
Brain Cipher è Brain Cipher di esfiltrazione di dati?
Sì, Brain Cipher doppia estorsione, sottraendo dati e minacciando di renderli pubblici se il riscatto non viene pagato.
Quanto è stato grave l'attacco al Centro nazionale dati dell'Indonesia?
L'attacco ha causato l'interruzione dei servizi di immigrazione e ha colpito 210 istituzioni, mettendo in evidenza la capacità del ransomware di provocare un impatto su larga scala.
Che ruolo svolgono le soluzioni di rilevamento e risposta estesi (XDR) nella lotta contro Brain Cipher?
Le soluzioni XDR offrono funzionalità complete di rilevamento e risposta alle minacce, aiutando a identificare e mitigare gli attacchi ransomware come quelli sferrati da Brain Cipher.
Brain Cipher presenta analogie con altri gruppi di ransomware?
Brain Cipher presenta diverse analogie con LockBit 3.0, quali le tecniche di crittografia avanzate e le strategie di doppia estorsione.