Brain Cipher
Brain Cipher Il ransomware è una variante della famiglia di ransomware LockBit che è emersa di recente nel panorama della sicurezza informatica indonesiana.
L'origine di Brain Cipher
Brain Cipher Il gruppo di ransomware si è imposto all'attenzione dopo l'attacco di alto profilo al centro dati nazionale indonesiano (Pusat Data Nasional - PDN) del 20 giugno 2024, che ha portato all'interruzione di servizi pubblici essenziali, tra cui l'immigrazione.
Nella dichiarazione pubblicata il 2 luglio 2024, il gruppo ha sottolineato che il loro attacco era una dimostrazione dell'importanza di finanziare l'industria della sicurezza informatica e di reclutare specialisti qualificati, affermando che le loro azioni non erano motivate politicamente ma piuttosto una forma di test di penetrazione post-pagamento.
Il gruppo ha mantenuto la promessa e ha reso disponibili gratuitamente le chiavi di decrittazione, consentendo alle vittime di ripristinare i dati criptati senza dover pagare un riscatto.
Fonte dello screenshot: X
Obiettivi
Brain CipherObiettivi
Paesi destinatari di Brain Cipher
Il gruppo di ransomware ha mostrato in passato una preferenza per le organizzazioni del Sud-Est asiatico, in particolare l'Indonesia. Tuttavia, con i recenti attacchi a vittime negli Stati Uniti e in Israele, è evidente che le loro operazioni si stanno espandendo oltre questa regione.
Industrie interessate da Brain Cipher
Brain Cipher Il ransomware ha preso di mira principalmente il settore pubblico, con un'attenzione specifica alle infrastrutture critiche. Di recente hanno esteso i loro attacchi ai settori finanziario e manifatturiero. L'attacco al PDN ha dimostrato la capacità del gruppo di interrompere i servizi vitali, causando un caos diffuso e incidendo sulla sicurezza pubblica.
Industrie interessate da Brain Cipher
Brain Cipher Il ransomware ha preso di mira principalmente il settore pubblico, con un'attenzione specifica alle infrastrutture critiche. Di recente hanno esteso i loro attacchi ai settori finanziario e manifatturiero. L'attacco al PDN ha dimostrato la capacità del gruppo di interrompere i servizi vitali, causando un caos diffuso e incidendo sulla sicurezza pubblica.
Brain CipherVittime
La vittima più illustre del ransomware Brain Cipher è il Pusat Data Nasional (PDN) in Indonesia. Questo attacco ha portato all'interruzione dei servizi di immigrazione e di altri servizi pubblici, colpendo 210 istituzioni. La portata della vittimologia del gruppo è ancora oggetto di indagine.
Fonte delle statistiche: ransomware.live
Metodo di attacco
Brain CipherMetodo di attacco
Brain Cipher Il ransomware ottiene l'accesso iniziale attraverso le campagne phishing . Le e-mail ingannevoli inducono i destinatari a scaricare ed eseguire i file dannosi.
Il ransomware aggira il controllo dell'account utente (T1548.002) per ottenere privilegi elevati all'interno dei sistemi presi di mira.
Analogamente alle sue tecniche di escalation dei privilegi, aggira il Controllo dell'account utente (T1548.002) per evitare il rilevamento da parte dei sistemi di sicurezza.
Brain Cipher ruba i cookie di sessione web (T1539), le credenziali dei browser web (T1555.003) e le credenziali memorizzate nei file (T1552.001) per infiltrarsi ulteriormente nella rete.
Brain Cipher esegue il rilevamento delle informazioni di sistema (T1082), interroga il registro di sistema (T1012) e scopre il software installato (T1518) per mappare l'ambiente infetto.
Il ransomware si muove lateralmente all'interno della rete per massimizzare il suo impatto, anche se le tecniche specifiche per questa fase non sono dettagliate.
Raccoglie informazioni sensibili dai sistemi infetti, preparandosi a una potenziale esfiltrazione dei dati.
Brain Cipher utilizza la Command Shell di Windows (T1059.003) e l'esecuzione di file dannosi da parte dell'utente (T1204.002) per eseguire i propri payload.
Si impegna in una doppia estorsione esfiltrare dati sensibili e minacciare di rilasciarli pubblicamente se non viene pagato il riscatto.
La tattica di impatto principale è la crittografia dei dati per impatto (T1486), che rende inaccessibili i dati della vittima fino al pagamento del riscatto.
Accesso iniziale
Brain Cipher Il ransomware ottiene l'accesso iniziale attraverso le campagne phishing . Le e-mail ingannevoli inducono i destinatari a scaricare ed eseguire i file dannosi.
Escalation dei privilegi
Il ransomware aggira il controllo dell'account utente (T1548.002) per ottenere privilegi elevati all'interno dei sistemi presi di mira.
Difesa Evasione
Analogamente alle sue tecniche di escalation dei privilegi, aggira il Controllo dell'account utente (T1548.002) per evitare il rilevamento da parte dei sistemi di sicurezza.
Accesso alle credenziali
Brain Cipher ruba i cookie di sessione web (T1539), le credenziali dei browser web (T1555.003) e le credenziali memorizzate nei file (T1552.001) per infiltrarsi ulteriormente nella rete.
Scoperta
Brain Cipher esegue il rilevamento delle informazioni di sistema (T1082), interroga il registro di sistema (T1012) e scopre il software installato (T1518) per mappare l'ambiente infetto.
Movimento laterale
Il ransomware si muove lateralmente all'interno della rete per massimizzare il suo impatto, anche se le tecniche specifiche per questa fase non sono dettagliate.
Collezione
Raccoglie informazioni sensibili dai sistemi infetti, preparandosi a una potenziale esfiltrazione dei dati.
Esecuzione
Brain Cipher utilizza la Command Shell di Windows (T1059.003) e l'esecuzione di file dannosi da parte dell'utente (T1204.002) per eseguire i propri payload.
Esfiltrazione
Si impegna in una doppia estorsione esfiltrare dati sensibili e minacciare di rilasciarli pubblicamente se non viene pagato il riscatto.
Impatto
La tattica di impatto principale è la crittografia dei dati per impatto (T1486), che rende inaccessibili i dati della vittima fino al pagamento del riscatto.
MITRE ATT&CK Mappatura
I TTP utilizzati da Brain Cipher
Questo elenco di TTP non è esaustivo, poiché stiamo ancora lavorando per comprendere appieno il comportamento di Brain Cipher; sarà aggiornato regolarmente man mano che raccoglieremo ulteriori informazioni.
Fonte: Peris.ai
TA0001: Initial Access
No items found.
TA0002: Execution
T1204
User Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
No items found.
TA0004: Privilege Escalation
T1134
Access Token Manipulation
T1548
Abuse Elevation Control Mechanism
TA0005: Defense Evasion
T1134
Access Token Manipulation
T1548
Abuse Elevation Control Mechanism
T1562
Impair Defenses
TA0006: Credential Access
T1539
Steal Web Session Cookie
T1555
Credentials from Password Stores
T1552
Unsecured Credentials
TA0007: Discovery
T1012
Query Registry
T1082
System Information Discovery
TA0008: Lateral Movement
No items found.
TA0009: Collection
No items found.
TA0011: Command and Control
No items found.
TA0010: Exfiltration
No items found.
TA0040: Impact
T1490
Inhibit System Recovery
T1486
Data Encrypted for Impact
Rilevamenti della piattaforma
Come rilevare Brain Cipher con Vectra AI
Elenco dei rilevamenti disponibili nella piattaforma Vectra AI che indicano un attacco ransomware.
DOMANDE FREQUENTI
Che cos'è Brain Cipher Ransomware?
Brain Cipher è un gruppo di ransomware noto per aver preso di mira le grandi organizzazioni e aver causato interruzioni significative attraverso la crittografia dei dati e la richiesta di riscatto.
Come fa Brain Cipher Ransomware a ottenere l'accesso iniziale?
Il gruppo utilizza principalmente campagne su phishing per indurre le vittime a scaricare ed eseguire file dannosi.
Quali sono i settori più a rischio di attacchi Brain Cipher ?
Le organizzazioni del settore pubblico e le infrastrutture critiche sono ad alto rischio, come dimostra l'attacco al National Data Center dell'Indonesia.
Quali misure difensive possono adottare le organizzazioni contro Brain Cipher?
L'implementazione di corsi di sensibilizzazione su phishing , l'utilizzo di una protezione avanzata su endpoint e la manutenzione di patch di sicurezza aggiornate possono contribuire a ridurre il rischio.
Come fa Brain Cipher Ransomware a eludere il rilevamento?
Bypassa il Controllo dell'account utente e utilizza strumenti di sistema legittimi come la Command Shell di Windows per evitare il rilevamento.
Cosa deve fare un'organizzazione se viene infettata da Brain Cipher?
Isolate i sistemi interessati, informate le forze dell'ordine e consultate gli esperti di sicurezza informatica prima di considerare il pagamento di un riscatto.
Brain Cipher si occupa di esfiltrazione di dati?
Sì, Brain Cipher utilizza una doppia estorsione, esfiltra i dati e minaccia di rilasciarli se non viene pagato il riscatto.
Quanto è stato significativo l'attacco al National Data Center dell'Indonesia?
L'attacco ha interrotto i servizi di immigrazione e ha colpito 210 istituzioni, evidenziando la capacità del ransomware di avere un impatto su larga scala.
Quale ruolo svolgono le soluzioni di Extended Detection and Response (XDR) nella lotta a Brain Cipher?
Le soluzioni XDR forniscono funzionalità complete di rilevamento e risposta alle minacce, aiutando a identificare e mitigare gli attacchi ransomware come quelli condotti da Brain Cipher.
Brain Cipher Ransomware ha delle somiglianze con altri gruppi di ransomware?
Brain Cipher I ransomware condividono diverse somiglianze con LockBit 3.0, come le tecniche di crittografia avanzate e le strategie di doppia estorsione.