Un gruppo ransomware diventa noto e acquista rilevanza, aprendo un sito onion e schierandosi nella guerra Ucraina. Ma le attività erano già in corso
Questa domenica appena passata è stata animata, dalle prime ore del mattino, dall’annuncio della gang STORMOUS sull’apertura del nuovo data leak site onion, sotto rete Tor. Analizziamone i retroscena e tutto ciò che finora hanno fatto.
STORMOUS apre un nuovo sito onion
Sì è vero, questo è un dato di fatto e sicuramente è la novità di oggi. La mia riflessione parte però da un fatto curioso secondo il quale un gruppo ransomware diventa rilevante se ha un sito onion per esporre le sue rivendicazioni.
STORMOUS ora, post sondaggio democratico ce l’ha, l’indirizzo è questo: hxxp://3slz4povugieoi3tw7sblxoowxhbzxeju427cffsst5fo2tizepwatid.onion
Da questo momento, gran parte delle attività di intelligence informatico l’hanno inserito tra le loro fonti da monitorare, anche lo schieramento pro-Russia dall’invasione russa dell’Ucraina in poi, ne ha fatto crescere leggermente la fama, ma questo gruppo è attivo almeno da aprile 2021, anche se raramente monitorato. Operando per tutta la loro attività tramite canale Telegram, si può dire che rimase del tutto indisturbato fino allo schieramento politico per questa guerra. Telegram stesso non aveva mai identificato come SCAM/TRUFFA il suo canale, fino a pochi giorni fa, che oltre alla guerra in Ucraina, coincide anche con le prime avvisaglie del gruppo, relativamente a flussi intensi di attacchi verso target europei e statunitensi, fino ad allora del tutto prede rare per STORMOUS, specializzato invece in Emirati Arabi Uniti.
La storia degli hack di STORMOUS
Personalmente ho iniziato a parlare di questo gruppo dai primi giorni di questo 2022. Cercando di tracciarne gli attacchi principali fin li portati a segno. Questo è un elenco degli approfondimenti che puoi trovare qui riguardo questa cyber gang:
- 09/01/2022 – La cyber guerra degli Emirati Arabi: STORMOUS
- 13/01/2022 – STORMOUS Ransomware, altri hack e servizi in vendita
- 31/01/2022 – Aggiornamenti STORMOUS ransomware: attacco a Godrej
- 27/02/2022 – STORMOUS ransomware si schiera senza dirlo, contro l’Ucraina
- 02/03/2022 – Monitoraggio attacchi a Ucraina, un riepilogo
La cyber gang viene “hackerata”
Come dicevo, post sondaggio la cyber gang ha pubblicato un nuovo sito web sotto rete Tor, creando un nuovo indirizzo .onion. L’esito del sondaggio inoltre, dovrebbe farci capire che il gruppo non trasferirà tutta la sua attività sul nuovo sito, ma continuerà ad operare anche su Telegram, motivo in più per non smettere di monitorarlo.
La scelta era infatti richiedere al “proprio pubblico” democraticamente di votare tra Meglio telegram o Meglio dark web. La vittoria al momento, per quanto il sondaggio sia ancora aperto, segna un 62% su Telegram contro 38% per il dark web.
L’annuncio del nuovo sito ha ispirato qualcuno a remare contro il gruppo criminale STORMOUS, attaccandone il server. E’ curioso notare come tutto questo sia avvenuto esattamente pochissimi minuti dopo l’annuncio ufficiale. Non è noto chi possa aver effettuato “l’hack” nella pratica, lo si riconduce ad ogni modo ad ARVIN CLUB che ne ha esposto i dettagli pubblicamente.
Probabilmente invitati dal notare che si faceva affidamento ad un server Windows con ambiente XAMP, qualcosa come 3-5 minuti dopo la pubblicazione dell’indirizzo .onion, trapelano 4 files risultato presumibilmente di SQL injection.
mysql.sql – phpmyadmin.sql – information_schema.sql – performance_schema.sql
Elenco dei file trapelati
Per il consulto rapido carico i file trapelati all’interno del repository con nuovo leak, chiamato appunto STORMOUS.