Sembra che un gruppo di hacker abbia trovato un nuovo modo diverso dai soliti per agire. Tuttavia, il loro piano non è durato troppo tempo grazie a Google, la quale li ha scoperti e poi ha deciso di segnalarli immediatamente. Cosa ha scoperto su di loro? 
Exotic Lily è il nome del gruppo hacker IAB, acronimo di Initial Access Broker, su cui la casa di Mountain View ha voluto pubblicate un rapporto per evidenziarne le modalità di azione compiute di recente. Il loro scopo non è altro che quello di ottenere l’accesso alle reti aziendali, e successivamente vendere all’asta l’accesso al miglior offerente tra i cybercriminali interessati.
La strategia di questi individui è decisamente superiore rispetto ai normali gruppi ransomware conosciuti. Facciamo un esempio: per rendere il tutto più credibile creano dei falsi profili social su Linkedin utilizzando dati facilmente reperibili su dipendenti reali. Così facendo ottengono la possibilità di creare duplicati che possano apparire autentici. Questi profili sono associati ad account di posta falsificati con cui iniziare a stabilire un contatto con le vittime allo scopo di instaurare un rapporto di fiducia.
I modus operandi di Exotic Lily
Nel momento in cui è necessario agire, sfruttano alcuni servizi di condivisione file come OneDrive allo scopo di fornire il playload necessario a creare i presupposti dell’attacco ransomware, mascherandone allo stesso tempo le origini. Exotic Lily, continuando, ha anche approfittato di una vulnerabilità zero-day interna all’MSHTML collegato a Windows per concludere i suoi colpi.
L’attività dei cybercriminali è molto vasta: Google parla di una stima che prevede l’invio di oltre 5.000 e-mail al giorno a 650 aziende in tutto il mondo. Fino a novembre 2021, il gruppo sembrava prendere di mira settori specifici come l’IT, la sicurezza informatica e l’assistenza sanitaria, ma negli ultimi tempi pare aver espanso il proprio raggio di azione cominciando ad attaccare un’ampia varietà di organizzazioni e settori differenti tra loro, con un focus meno specifico.
Secondo gli esperti di Google è possibile che Exotic Lily sia legato al gruppo ransomware russo Conti, il quale avrebbe ottenuto 200 milioni di dollari da tutte le vittime colpite l’anno scorso. Attualmente, si pensa che sia in crisi a causa di un insider che ha rilasciato un’enorme quantità di log interni, svelando le tattiche adottate dagli hacker. Comunque, le loro attività “lavorative” hanno luogo dalle 9 alle 5, segno del fatto che potrebbero operare in Europa centrale o orientale.
