Bollettino dei cyberattacchi: Gli attaccanti non entrano, ma accedono: Il punto cieco dell'MFA >

Bollettino dei cyberattacchi: Gli attaccanti non entrano, ma accedono: Il punto cieco dell'MFA >

Vectra AI Giappone, ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Icona dell'hamburger in alto
Icona dell'hamburger linea centrale
Icona dell'hamburger linea di fondo
cybercriminels
>
Gruppo Ransomware

Arkana Security

Arkana è un gruppo di ransomware di recente identificazione che ha debuttato pubblicamente con un attacco aggressivo e di alto profilo contro WideOpenWest (WOW!), un importante fornitore di servizi via cavo e a banda larga degli Stati Uniti.

Rilevare i TTP di Arkana
La vostra organizzazione è al sicuro dagli attacchi del ransomware Arkana?
Sfondo
Obiettivi
TTP
Rilevamento
DOMANDE FREQUENTI
Guarda il Briefing sulle minacce

L'origine di Arkana

Arkana è un gruppo di ransomware di recente identificazione che ha debuttato pubblicamente con un attacco aggressivo e di alto profilo contro WideOpenWest (WOW!), un importante fornitore di servizi via cavo e a banda larga degli Stati Uniti. Nonostante la sua recente comparsa, la sofisticazione operativa del gruppo suggerisce che potrebbe essere gestito da attori esperti in materia di minacce. Arkana utilizza un modello di ransomware in tre fasi: riscatto, vendita e fuga, che siconcentra sull'estorsione e sulle tattiche coercitive. Il linguaggio utilizzato sul sito Onion e nelle comunicazioni fa pensare a potenziali origini o affiliazioni russe, anche se questo non è ancora stato verificato in modo definitivo.

La loro strategia non è solo tecnica ma anche psicologica, basandosi su tattiche di vergogna e doxxing aziendale per aumentare la pressione sulle vittime. L'uso di un "muro della vergogna" pubblico e la diffusione di informazioni sui dirigenti doxxati segnano un cambiamento verso gli attacchi alla reputazione come parte del loro schema di estorsione.

Immagine: SOCradar

L'origine di Arkana
Obiettivi

Obiettivi di Arkana

Paesi destinatari di Arkana

Sebbene non siano stati resi noti altri attacchi, l'attacco di Arkana a WOW!- un'azienda con sede negli Stati Uniti - dimostra il loro interesse a colpire entità occidentali, in particolare nordamericane. Il loro approccio suggerisce la volontà di sfidare organizzazioni consolidate in ambienti altamente regolamentati.

Industrie interessate da Arkana

Arkana ha preso di mira principalmente il settore delle telecomunicazioni e dei servizi Internet, come dimostra il primo attacco noto a WideOpenWest. Tuttavia, il loro modello incentrato sull'estorsione e le tecniche di sfruttamento delle infrastrutture suggeriscono che sono ben posizionati per attaccare qualsiasi settore che memorizza grandi quantità di PII, dati finanziari e gestisce sistemi backend critici.

Industrie interessate da Arkana

Arkana ha preso di mira principalmente il settore delle telecomunicazioni e dei servizi Internet, come dimostra il primo attacco noto a WideOpenWest. Tuttavia, il loro modello incentrato sull'estorsione e le tecniche di sfruttamento delle infrastrutture suggeriscono che sono ben posizionati per attaccare qualsiasi settore che memorizza grandi quantità di PII, dati finanziari e gestisce sistemi backend critici.

Le vittime di Arkana

L'unica vittima confermata al momento è WideOpenWest (WOW!). Il gruppo ha rivendicato l'accesso a:

  • Oltre 403.000 conti clienti
  • Piattaforme di backend come AppianCloud e Symphonica
  • Dati finanziari e PII sensibili
  • Dati personali dei dirigenti, compresi SSN, indirizzi e informazioni di contatto.

Ciò indica un profondo movimento laterale e un'enfasi sui sistemi backend privilegiati, che potrebberoconsentire l'implementazione di ransomware su larga scala negli endpoint dei clienti.

Metodo di attacco

Tecniche di attacco di Arkana

Accesso iniziale
Escalation dei privilegi
Difesa Evasione
Accesso alle credenziali
Scoperta
Movimento laterale
Collezione
Esecuzione
Esfiltrazione
Impatto
Una figura ombrosa che getta un'ampia rete su un paesaggio digitale pieno di vari dispositivi come computer, smartphone e tablet. La rete simboleggia i tentativi dell'attaccante di trovare vulnerabilità o di utilizzare le tecniche di phishing per ottenere un accesso non autorizzato.

Probabilmente è stato ottenuto sfruttando sistemi rivolti a Internet o credenziali compromesse, eventualmente tramite vulnerabilità non patchate o phishing.

Una scala digitale che si estende verso l'alto da un'icona utente di base verso una corona che simboleggia i privilegi amministrativi. Questo rappresenta gli sforzi dell'attaccante per ottenere un accesso di livello superiore all'interno del sistema.

Ha ottenuto autorizzazioni elevate all'interno di piattaforme backend come AppianCloud; probabilmente ha sfruttato configurazioni errate specifiche della piattaforma o bypass di autenticazione.

Un camaleonte che si mimetizza in uno sfondo digitale, con zeri e uno che gli scorrono intorno. Questo rappresenta la capacità dell'attaccante di evitare il rilevamento da parte delle misure di sicurezza, cambiando tattica per confondersi con il normale traffico di rete.

Ha evitato di essere individuato mantenendo un accesso prolungato ai sistemi interni di WOW!; eventualmente ha disabilitato la registrazione o ha offuscato i modelli di accesso.

Un ladro con un kit di grimaldelli che lavora su un buco della serratura gigante a forma di modulo di login, che rappresenta gli sforzi dell'attaccante di rubare le credenziali dell'utente per ottenere un accesso non autorizzato.

Accesso a un'ampia serie di credenziali, tra cui nomi utente, password e risposte a domande di sicurezza; utilizzate per il movimento laterale e la persistenza.

Una lente di ingrandimento che si muove su una mappa digitale di una rete, evidenziando file, cartelle e connessioni di rete. Questa immagine rappresenta la fase in cui gli aggressori esplorano l'ambiente per capire la struttura e dove risiedono i dati preziosi.

Mappatura dei servizi interni e delle API (ad esempio, fatturazione, dati dei clienti), identificando obiettivi di alto valore come Symphonica e Appian.

Una serie di nodi interconnessi con una figura oscura che si muove furtivamente tra di essi. Questo illustra i movimenti dell'attaccante all'interno della rete, che cerca di ottenere il controllo di altri sistemi o di diffondere malware.

Propagato attraverso i sistemi interni, comprese le API di fatturazione, i sistemi CRM ed eventualmente i dispositivi controllati tramite Symphonica.

Un grande aspirapolvere che aspira file, icone di dati e cartelle in un sacchetto tenuto da una figura in ombra. Questa immagine simboleggia il processo di raccolta di dati preziosi dalla rete di destinazione.

L'infiltrazione di enormi quantità di dati, tra cui PII, dati di autenticazione e codice di backend dai sistemi rivolti ai clienti.

Una finestra del prompt dei comandi aperta davanti a uno sfondo digitale, con la digitazione di codice dannoso. Questa rappresenta la fase in cui gli aggressori eseguono il loro payload dannoso all'interno del sistema compromesso.

Ha dichiarato di essere in grado di inviare malware ai dispositivi dei clienti tramite Symphonica; probabilmente ha coinvolto script o payload personalizzati tramite l'accesso al backend.

Una serie di file che vengono convogliati attraverso un canale nascosto da un computer a un sito cloud etichettato con un teschio, che simboleggia il trasferimento non autorizzato di dati a una posizione controllata dall'aggressore.

I dati sono stati probabilmente estratti nel corso del tempo e utilizzati nel processo di estorsione, compreso il rilascio di campioni e schermate sanificate.

Uno schermo incrinato con dietro un paesaggio urbano digitale in preda al caos, che simboleggia l'impatto distruttivo del cyberattacco, come l'interruzione del servizio, la distruzione dei dati o la perdita finanziaria.

Diffusione pubblica dei dati rubati, doxxing dei dirigenti, danni alla reputazione, potenziale distribuzione di malware agli utenti finali.

Una figura ombrosa che getta un'ampia rete su un paesaggio digitale pieno di vari dispositivi come computer, smartphone e tablet. La rete simboleggia i tentativi dell'attaccante di trovare vulnerabilità o di utilizzare le tecniche di phishing per ottenere un accesso non autorizzato.
Accesso iniziale

Probabilmente è stato ottenuto sfruttando sistemi rivolti a Internet o credenziali compromesse, eventualmente tramite vulnerabilità non patchate o phishing.

Una scala digitale che si estende verso l'alto da un'icona utente di base verso una corona che simboleggia i privilegi amministrativi. Questo rappresenta gli sforzi dell'attaccante per ottenere un accesso di livello superiore all'interno del sistema.
Escalation dei privilegi

Ha ottenuto autorizzazioni elevate all'interno di piattaforme backend come AppianCloud; probabilmente ha sfruttato configurazioni errate specifiche della piattaforma o bypass di autenticazione.

Un camaleonte che si mimetizza in uno sfondo digitale, con zeri e uno che gli scorrono intorno. Questo rappresenta la capacità dell'attaccante di evitare il rilevamento da parte delle misure di sicurezza, cambiando tattica per confondersi con il normale traffico di rete.
Difesa Evasione

Ha evitato di essere individuato mantenendo un accesso prolungato ai sistemi interni di WOW!; eventualmente ha disabilitato la registrazione o ha offuscato i modelli di accesso.

Un ladro con un kit di grimaldelli che lavora su un buco della serratura gigante a forma di modulo di login, che rappresenta gli sforzi dell'attaccante di rubare le credenziali dell'utente per ottenere un accesso non autorizzato.
Accesso alle credenziali

Accesso a un'ampia serie di credenziali, tra cui nomi utente, password e risposte a domande di sicurezza; utilizzate per il movimento laterale e la persistenza.

Una lente di ingrandimento che si muove su una mappa digitale di una rete, evidenziando file, cartelle e connessioni di rete. Questa immagine rappresenta la fase in cui gli aggressori esplorano l'ambiente per capire la struttura e dove risiedono i dati preziosi.
Scoperta

Mappatura dei servizi interni e delle API (ad esempio, fatturazione, dati dei clienti), identificando obiettivi di alto valore come Symphonica e Appian.

Una serie di nodi interconnessi con una figura oscura che si muove furtivamente tra di essi. Questo illustra i movimenti dell'attaccante all'interno della rete, che cerca di ottenere il controllo di altri sistemi o di diffondere malware.
Movimento laterale

Propagato attraverso i sistemi interni, comprese le API di fatturazione, i sistemi CRM ed eventualmente i dispositivi controllati tramite Symphonica.

Un grande aspirapolvere che aspira file, icone di dati e cartelle in un sacchetto tenuto da una figura in ombra. Questa immagine simboleggia il processo di raccolta di dati preziosi dalla rete di destinazione.
Collezione

L'infiltrazione di enormi quantità di dati, tra cui PII, dati di autenticazione e codice di backend dai sistemi rivolti ai clienti.

Una finestra del prompt dei comandi aperta davanti a uno sfondo digitale, con la digitazione di codice dannoso. Questa rappresenta la fase in cui gli aggressori eseguono il loro payload dannoso all'interno del sistema compromesso.
Esecuzione

Ha dichiarato di essere in grado di inviare malware ai dispositivi dei clienti tramite Symphonica; probabilmente ha coinvolto script o payload personalizzati tramite l'accesso al backend.

Una serie di file che vengono convogliati attraverso un canale nascosto da un computer a un sito cloud etichettato con un teschio, che simboleggia il trasferimento non autorizzato di dati a una posizione controllata dall'aggressore.
Esfiltrazione

I dati sono stati probabilmente estratti nel corso del tempo e utilizzati nel processo di estorsione, compreso il rilascio di campioni e schermate sanificate.

Uno schermo incrinato con dietro un paesaggio urbano digitale in preda al caos, che simboleggia l'impatto distruttivo del cyberattacco, come l'interruzione del servizio, la distruzione dei dati o la perdita finanziaria.
Impatto

Diffusione pubblica dei dati rubati, doxxing dei dirigenti, danni alla reputazione, potenziale distribuzione di malware agli utenti finali.

MITRE ATT&CK Mappatura

TTP utilizzati da Arkana

TA0001: Initial Access
T1566
Phishing
T1190
Exploit Public-Facing Application
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
No items found.
TA0004: Privilege Escalation
T1068
Exploitation for Privilege Escalation
TA0005: Defense Evasion
T1027
Obfuscated Files or Information
TA0006: Credential Access
T1110
Brute Force
T1003
OS Credential Dumping
TA0007: Discovery
T1087
Account Discovery
T1046
Network Service Discovery
TA0008: Lateral Movement
T1210
Exploitation of Remote Services
TA0009: Collection
T1213
Data from Information Repositories
TA0011: Command and Control
No items found.
TA0010: Exfiltration
T1567
Exfiltration Over Web Service
TA0040: Impact
T1485
Data Destruction
T1486
Data Encrypted for Impact
Rilevamenti della piattaforma

Come rilevare Arkana con Vectra AI

Brute-Force

Privilege Anomaly: Unusual Host

Ransomware File Activity

Visualizza altri rilevamenti
Valutare l'esposizione agli attacchi

DOMANDE FREQUENTI

Che cos'è Arkana e come si differenzia da altri gruppi di ransomware?

Arkana è un gruppo di ransomware recentemente identificato con un modello di estorsione in tre fasi: Riscatto, vendita e fuga di notizie. Combina il ransomware tradizionale con attacchi aggressivi di doxxing e reputazionali.

Arkana è collegata a qualche gruppo noto di criminalità informatica?

Non ci sono collegamenti confermati, ma il linguaggio e le tattiche suggeriscono una possibile origine russa o un allineamento con gli ecosistemi criminali informatici dell'Europa orientale.

Qual è stata la portata del loro attacco a WOW!

Arkana sostiene di aver violato l'infrastruttura di backend, esfiltrare oltre 403.000 account di clienti e ottenere il controllo di piattaforme come Symphonica e AppianCloud.

Come ha ottenuto Arkana l'accesso iniziale?

Anche se non confermati, i metodi probabili includono phishing, il riempimento di credenziali o lo sfruttamento di sistemi pubblici privi di patch.

Quali tipi di dati sono stati rubati?

I dati includono nomi utente, password, SSN, informazioni sulla carta di credito, dettagli dei pacchetti di servizi, ID Firebase e preferenze di comunicazione via e-mail.

Arkana ha distribuito un vero e proprio ransomware?

Operano come gruppo di estorsione di dati, ma affermano anche di essere in grado di inviare malware ai dispositivi dei clienti, il che suggerisce che la distribuzione di ransomware è possibile.

Come possono le organizzazioni rilevare e rispondere a tali attacchi?

Implementare soluzioni di rilevamento e risposta alle minacce come Vectra AI. Monitorare le chiamate API insolite, gli accessi non autorizzati e l'esfiltrazione anomala dei dati. Applicare i principi di zero trust e MFA.

Arkana è ancora attivo?

Al momento, il loro sito Onion è operativo e hanno elencato solo WOW! come vittima, ma la loro infrastruttura suggerisce attività in corso e attacchi futuri.

Quali sono i rischi legali per le vittime di Arkana?

Le vittime potrebbero incorrere in sanzioni normative (ad esempio, HIPAA, GDPR), azioni legali da parte dei clienti interessati e responsabilità di class action a causa della natura dei dati rubati.

Cosa possono fare le persone colpite?

I clienti di WOW! dovrebbero:

  • Attivare il monitoraggio del credito
  • Modificare le password e le domande di sicurezza
  • Monitorare i tentativiphishing e gli accessi non autorizzati agli account.

La vostra organizzazione è al sicuro dagli attacchi del ransomware Arkana?

Valutare l'esposizione agli attacchi