Analisi degli Attori Minacciosi Correlati: DarkRaaS e CornDB
Nel mese di ottobre e novembre 2024, due threat actors di rilievo, DarkRaaS e CornDB, sono emersi su BreachForums, mostrando sorprendenti somiglianze nelle loro operazioni, obiettivi e metodologie. Questa analisi esamina le attività di questi attori e le prove che suggeriscono una loro probabile connessione.
DarkRaaS/bashify
DarkRaaS, un initial access and data broker(IAB), è apparso per la prima volta su BreachForums nell'ottobre del 2024, affermando di essere affiliato con l'operazione ransomware DarkSide nel suo primo post sul forum. DarkSide, noto per l'attacco alla Colonial Pipeline nel 2021, (ora rinominato BlackMatter) è strettamente legato all'ormai defunto ALPHV (BlackCat) attraverso la condivisione di personale, tattiche e sovrapposizioni tecniche, con molti ricercatori che considerano ALPHV come una continuazione diretta di DarkSide. Tuttavia, questa connessione è dubbia e al momento non ci sono prove che DarkRaaS sia strettamente legato a DarkSide.
Le attività di DarkRaaS sono state contrassegnate dall'uso costante di pronomi plurali ("noi") nelle comunicazioni, suggerendo operazioni di gruppo. L'attore si è concentrato principalmente su obiettivi israeliani, sia governativi che privati. Sebbene la motivazione rimanga poco chiara, la scelta degli obiettivi suggerisce una posizione geopolitica e anti-occidentale.
Secondo KELA, DarkRaaS ha affermato di aver preso di mira nove entità israeliane durante il mese di ottobre, con furto di dati e altri attacchi. Tra questi, la vendita di 85.000 registrazioni di clienti da una compagnia di prestiti, nonché vari tipi di accesso agli asset di diverse organizzazioni: la rete cloud di un comune, la rete cloud di una compagnia di abbigliamento israeliana (Omall), i sistemi CRM di una grande compagnia di marketing, un'agenzia medica israeliana, i server di un college tecnologico, una compagnia energetica israeliana e un grande conglomerato finanziario in Israele.
Sebbene il bersaglio principale di DarkRaaS siano state entità israeliane, l'attore ha esteso la propria portata a organizzazioni di vari paesi, tra cui Emirati Arabi Uniti, Bulgaria, Pakistan, Colombia, Turchia, Argentina e Singapore. Il 5 novembre 2024, l'attore ha cambiato il nome della sua presenza sul forum, adottando il moniker "bashify".

Primo post di DarkRaaS, con l'attore che afferma di provenire dall'operazione ransomware DarkSide
CornDB
Poco dopo le ultime comunicazioni di DarkRaaS sotto questo pseudonimo, CornDB si è registrato su BreachForums il 9 novembre 2024. I loro schemi operativi hanno mostrato sorprendenti somiglianze con quelli di DarkRaaS, con un focus sugli obiettivi israeliani e uno stile di comunicazione simile, che includeva riferimenti a un'operazione di gruppo. Gli obiettivi di CornDB includevano organizzazioni come l'accesso a una grande compagnia di telecomunicazioni, nonché informazioni relative a aziende israeliane di vari settori – energia, finanziario e municipale, estendendo anche gli attacchi a target in Malesia e negli Stati Uniti.
Evidence of Connection
L'indagine condotta da KELA ha rivelato diversi indicatori che suggeriscono una connessione molto forte tra questi attori. La relazione temporale tra le loro attività presenta un pattern particolarmente significativo. Sebbene ci sia stato un breve sovrapporsi nelle attività dopo la registrazione di CornDB il 9 novembre, con bashify che ha fatto altri tre post fino al 12 novembre, il pattern complessivo suggerisce una transizione coordinata piuttosto che operazioni simultanee.
Inoltre, l'analisi linguistica ha rivelato frasi praticamente identiche nei post sul forum e l'uso costante di pronomi collettivi. I loro schemi operativi si allineano perfettamente, con preferenze di pagamento in criptovalute identiche – Bitcoin, Ethereum, Litecoin e Monero – e un focus principale sugli obiettivi israeliani, con schemi di pubblicazione e tempistiche simili.
La prova più convincente proviene dall'uso di un TOX ID condiviso tra i due account. L'11 novembre, bashify ha pubblicizzato un database di giochi d'azzardo italiano utilizzando il TOX ID: 811CB399F20173BF39A9DEDB048E8296AF0BB9AD101A088E1F01DF895CDE295F3DC6286A7CC6. Lo stesso identico TOX ID è apparso in modo coerente nelle informazioni di contatto di CornDB in tutti i loro post. Successivamente, il post è stato modificato da bashify con un diverso TOX ID.

Frasi simili usate da entrambi gli attori nei loro post

Post in cui entrambi gli attori hanno usato lo stesso ID TOX
Conclusione
Sulla base delle prove raccolte da KELA, in particolare l'ID TOX condiviso e le somiglianze operative, sembra altamente probabile che DarkRaaS/bashify e CornDB siano lo stesso attore o membri strettamente connessi dello stesso gruppo operativo. Il tempismo delle loro attività, le preferenze di targeting identiche e la condivisione cruciale dello stesso ID TOX forniscono un forte supporto a questa conclusione.
Nonostante l'alta attività riguardo agli obiettivi israeliani e alcune fughe di dati condivise pubblicamente per la verifica, la reputazione degli attori non può essere definitivamente stabilita, in particolare per quanto riguarda le access broker sales. Entrambi gli attori hanno accumulato solo un numero limitato di punti di reputazione positiva sul forum, e le loro discussioni non hanno generato un significativo dibattito pubblico. Tuttavia, è importante notare che potrebbe verificarsi un’interazione sostanziale tramite messaggi privati. Dato il loro schema di targeting di vittime di alto profilo e le somiglianze operative, questi attori richiedono un monitoraggio continuo.
Prova Gratis
Scopri il potere della piattaforma di intelligence di KELA in prima persona. Accedi a informazioni utili, individua rischi critici ed esplora le profondità del cyberspazio criminale il tutto progettato per aiutarti a restare un passo avanti rispetto alle minacce.
Per Prova gratuitamente prenota una call Qui
Comments