Il modus operandi di Winnti comprende l’uso di malware personalizzati, strumenti di hacking avanzati e campagne di phishing ben orchestrate per infiltrarsi nelle organizzazioni bersaglio. Una volta all’interno, si muovono lateralmente attraverso le reti, esfiltrando informazioni finanziarie sensibili e distribuendo ransomware per estorcere fondi. Le loro operazioni sono caratterizzate da una persistenza a lungo termine all’interno delle reti delle vittime, rimanendo spesso non rilevati per periodi prolungati.
I ricercatori di sicurezza hanno identificato diversi ceppi di malware chiave utilizzati da Winnti, tra cui ShadowPad, PlugX e lo stesso Winnti. Questi strumenti consentono al gruppo di mantenere accessi di backdoor, eseguire comandi remoti e raccogliere dati in modo furtivo. Le attività recenti del gruppo dimostrano un allarmante spostamento verso guadagni finanziari, sfruttando la loro competenza tecnica per sfruttare le vulnerabilità all’interno dei sistemi e delle istituzioni finanziarie.
Il settore finanziario è invitato a migliorare le proprie misure di sicurezza informatica, inclusa una segmentazione robusta della rete, frequenti audit di sicurezza e una formazione completa dei dipendenti per riconoscere e rispondere ai tentativi di phishing. La collaborazione tra le agenzie di cibersicurezza internazionali è cruciale per tracciare, attribuire e mitigare l’impatto di tali minacce informatiche sofisticate. Man mano che Winnti continua a evolvere le proprie strategie, le organizzazioni devono rimanere vigili e proattive nei loro meccanismi di difesa per proteggersi da queste avanzate attività di spionaggio informatico.
Source: GBHackers
Per mitigare potenziali minacce, è importante implementare ulteriori misure di sicurezza informatica con l’aiuto di un partner affidabile come INFRA www.infrascan.net o è possibile provarci da soli utilizzando check.website.