Alla scoperta di Drumrlu. L’IaB che fa grossi affari tra Turchia e Venezuela
Dopo estremo oriente e Iran, continuiamo la nostra serie di articoli su attori di tipo IAB con un attore che si pensa sia di base in Europa, in un paese NATO.
Origine e attribuzione
Secondo i ricercatori di KelaCyber (vendor di servizi di Cyber Threat Intelligence di Tel Aviv, Israele), l’attore Drumrlu, è uno IAB che presumibilmente ha base in Turchia.
Drumrlu è anche noto con il nome/moniker “3LV4N”.
Come visto nel primo articolo sull’access broker miyako, lo ricerca delle entrate delle vittime da parte dello IAB, è una pratica molto comune per questi attori, i cui post tendono appunto a menzionare le entrate delle vittime per invogliare i potenziali acquirenti. Si parte dal presupposto che organizzazioni con entrate più elevate abbiano il potenziale di garantire un riscatto multimilionario.
–
“drumrlu” (alias 3lv4n) è un broker di accesso iniziale e un venditore di database di credenziali attivo nei forum clandestini almeno dal maggio 2020. drumrlu ha venduto accessi a domini di varie organizzazioni in molti paesi del mondo (EMEA, APAC e AMER) nei settori dell’istruzione, dei servizi pubblici, delle assicurazioni, della sanità, delle criptovalute, dei giochi e del governo. Nell’ ottobre del 2020, l’attore ha iniziato a vendere accessi root al software VMware ESXi con prezzi compresi tra 250 e 500 dollari.
Gli analisti di Outpost24 hanno osservato che “Nosophoros”, l’attore dietro il Ransomware as a Service (RaaS) Thanos, probabilmente collabora con (è cliente di) drumrlu. Il 18 luglio 2020, Nosophoros ha postato sul forum “Exploit” il messaggio: “drumrlu è un buon fornitore, ho garantito per lui in passato e continuo a farlo. Sono contento che sia tornato”.
“drumrlu is a good vendor, I vouched for him before and I still do. Glad you are back”.
Simon Roe, ricercatore e product manager presso Outpost24, in un suo report evidenza come drumrlu/3LV4N abbia operato nella operazione RaaS Thanos.
drumrlu ha anche lasciato una recensione nel profilo di Nosophoros dicendo di lui: “Best RaaS, Best Programmer”. Un altro commento dell’attore “peterveliki” conferma la potenziale partnership tra drumrlu e Nosophoros: “Ho acquistato un accesso da questo venditore (drumrlu) – è andato tutto liscio. Un tipo molto disponibile. Mi ha anche consigliato di usare Thanos di Nosphorus, che si è rivelato essere molto utile in questo caso. Ottimo venditore, lo consiglio”.
“I bought access from this seller – everything went smoothly. A very helpful dude. He also recommended using Thanos from Nosphorus; which turned out to be very helpful in this case. Good seller, I recommend”
Ciclo di attacco
Secondo ProofPoint una catena di attacco su RaaS Thanos con accessi iniziali forniti dallo IAB drumrlu potrebbe essere questa:
1. Invio di e-mail contenenti un documento Office dannoso
2. Un utente vittima scarica il documento e attiva le macro che rilasciano un payload (un RAT e/o InfoStealer)
3. L’attore sfrutta l’accesso backdoor per esfiltrare informazioni di sistema/accessi
4. A questo punto, il broker di accesso iniziale può vendere l’accesso ad altri attori
5. Inoltre può distribuire Cobalt Strike tramite l’accesso backdoor del malware che consente il movimento laterale all’interno della rete
6. Ottiene quindi compromissione completa del dominio tramite Active Directory
7. L’attore affiliato al RaaS distribuisce il ransomware a tutte le stazioni di lavoro collegate al dominio.
Esempio di credential stealers tramite phish e-mail
Possibile phishing email per furto di credenziali con allegato documento Office dannoso da indirizzo email free GMX.COM.
File EXCEL XSLM con malware GuLoader (aka CloudEyE o vbdropper).
Fonte ProofPoint
Alcuni scenari in cui l’attore ha operato
- Compagnia energia elettrica ad Amman in Giordania.
- Ospedale tedesco in Arabia Saudita.
- Gruppo assicurativo in Tailandia.
- Gruppo assicurativo in Arabia Saudita.
- Entità governativa in Kuwait.
Paesi target
Australia, Stati Uniti, Thailandia, Pakistan, Francia, Italia, Svizzera, Emirati Arabi Uniti, Giordania, Israele, Egitto, Kuwait e Arabia Saudita.
Settori target
Istruzione, servizi pubblici, assicurazioni, sanità, criptovalute, giochi e entità governative.
NotaBene su Thanos: presunto creatore del RaaS … Un medico venezuelano!?!?
Il DoJ USA presume che un cardiologo sia lo sviluppatore che ha creato il ransomware Thanos: Moises Luis Zagala Gonzalez, 55 anni, cittadino francese e venezuelano residente a Ciudad Bolivar, Venezuela, è accurato di aver commesso tentativi di intrusione informatica e di associazione a delinquere finalizzata al commettere intrusioni informatiche, secondo una denuncia penale statunitense resa pubblica lunedì 16 maggio 2022.
Zagala avrebbe venduto e affittato pacchetti ransomware da lui sviluppati a criminali informatici. È inoltre accusato di aver addestrato gli aspiranti aggressori/gli affiliati sul come utilizzare i suoi prodotti per estorcere le vittime e di essersi successivamente vantato degli attacchi riusciti.
Una serie di errori di Zagala, avrebbe permesso agli investigatori di identificarlo come sospetto, ha dichiarato il DoJ. Nel settembre 2020, un agente dell’FBI sotto copertura avrebbe acquistato una licenza per Thanos da Zagala e scaricato il software. Inoltre, un informatore dell’FBI ha parlato con Zagala della possibilità di istituire un programma di affiliazione utilizzando Thanos, sempre secondo il documento del DoJ.
Zagala si sarebbe vantato pubblicamente nel DarkWeb del fatto che il RaaS Thanos, la sua creatura, era stato usato da parte di un gruppo di threat actors sponsorizzato dallo Stato iraniano per attaccare aziende israeliane.
Fonte: portswigger.net/daily-swig/med…
Fonte PDF (FBI.GOV)
fbi.gov/wanted/cyber/moises-lu…
Conclusione
In questo articolo della serie sugli initial access broker abbia visto come il furto di credenziali avvenga attraverso campagne di phishing con allegati Office contenenti malware/infostealer… Quindi ricordiamo alcune delle best practice menzionate in precedenza per essere pronti ad ogni evenienza
- Controlli di Accesso Forti/uso di Multi Factor Authentication
- Formazione e Consapevolezza dei Dipendenti
- Segmentazione/micro segmentazione della rete
- Monitoraggio Continuo e Rilevamento delle Minacce
–
Bibliografica
KelaCyber
kelacyber.com/blog/uncovering-…
kelacyber.com/blog/the-secret-…
Report di Outpost24
slideshare.net/slideshow/outpo…
RaaS THANOS su RecordedFuture
recordedfuture.com/research/th…
Bleeping Computer su Thanos
bleepingcomputer.com/news/secu…
PortSwigger su Thanos
portswigger.net/daily-swig/med…
ProffPoint su Thanos
proofpoint.com/us/blog/threat-…
Malpedia Fraunhofer su GuLoader/CluodEyE
malpedia.caad.fkie.fraunhofer.…
FBI
fbi.gov/wanted/cyber/moises-lu…
L'articolo Alla scoperta di Drumrlu. L’IaB che fa grossi affari tra Turchia e Venezuela proviene da il blog della sicurezza informatica.
"Trotz #Dürre in Deutschland: Industrie nutzt weiterhin ungebremst Wasser"
Katastrophenungerechtigkeit heißt zweierlei: 1. verursachen Reiche und Mächtige die Katastrophe mehr, als andere, und 2. sie leiden in/unter ihr weniger, als andere.
correctiv.org/aktuelles/kampf-…
Trotz Dürre in Deutschland: Industrie nutzt weiterhin ungebremst Wasser - correctiv.org
Bürger sollen Wasser sparen – doch Kohle-, Chemie- und Pharmakonzerne dürfen laut CORRECTIV-Umfrage weiter ungehindert Wasser nutzen.Katarina Huth (CORRECTIV)
reshared this
DSGVO-Urteil: Muss Meta jetzt für Millionen Nutzer:innen zahlen?
Ein Nutzer bekommt 5.000 Euro Schadenersatz von Meta – ohne konkreten Nachweis. Das Urteil könnte neue Maßstäbe im Datenschutz setzen.Sandra May (OnlinehändlerNews)
#Palestina #Gaza #Antiimperialism #Antisionism
arbetarmakt.com/2025/07/flen-r…
Rapport: Hela Flen säger nej till folkmord
Palestinarörelsen har inga vänner i riksdagen eller i media, men finns i hela landet, vecka efter vecka. De största demonstrationerna finns så klart i storstäderna, som i Stockholm, där tusentals aktivister samlas varje lördag.Arbetarmakt
🔭 NASA Astronomy Picture of the Day. Date: 2025-07-08. The Pleiades in Red and Blue. Credits: Ogetay Kayali (Michigan Tech U.) Text: Ogetay Kayali (Michigan Tech U.).
reshared this
youtube.com/shorts/K8Y9tyhAgfE
- YouTube
Profitez des vidéos et de la musique que vous aimez, mettez en ligne des contenus originaux, et partagez-les avec vos amis, vos proches et le monde entier.www.youtube.com
#news #Press #theHILL #anythinggoesnews #shoesmithlc
'I'm Looking At Your Dumb Ass!' Jon Stewart Shames 1 Of GOP's Worst Flip-Flops
https://www.huffpost.com/entry/jon-stewart-republican-flip-flop_n_686c9205e4b0c11188c93cc8?utm_source=flipboard&utm_medium=activitypub
Posted into News & Politics @news-politics-huffingtonpost
'I'm Looking At Your Dumb Ass!' Jon Stewart Shames 1 Of GOP's Worst Flip-Flops
The "Daily Show" host also had a warning for Democrats and Republicans alike.Ed Mazza (HuffPost)
Russia, Rosstat smette di pubblicare i dati su nascite e morti: ombra sulla crisi demografica
La guerra in Ucraina e l’elevato numero di caduti tra i militari aggravano il calo demografico. Censurati i numeri su popolazione, natalità e mortalità. Appello al governo da parte di economisti e …LiberoReporter
Insalata di riso alla siciliana, l'alternativa sfiziosa e originale
https://www.lacucinaitaliana.it/article/insalata-riso-siciliana-ricetta-facile-estiva/?utm_source=flipboard&utm_medium=activitypub
Pubblicato su Tutorial @tutorial-CucinaItaliana
Insalata di riso alla siciliana: la ricetta originale
Avete mai assaggiato l'insalata di riso alla siciliana? Ecco una ricetta veloce e sfiziosa per un piatto ricco di sapore grazie agli aromi del MediterraneoPaola Toia (La Cucina Italiana)
Fonzie, sogno irrealizzato: anche i miti hanno un mito
Fonzie e quel sogno irrealizzato: anche i miti hanno un mito
boomerissimo.it/2023/11/30/fon…
Fonzie, sogno irrealizzato: anche i miti hanno un mito - Boomerissimo
Anche lui aveva un mito e un sogno, che però non ha mai avuto la forza di realizzare. Ve lo raccontiamo.Antonio Pintér (Boomerissimo)
‘I was sold a lie by my education system’ On Real Talk this week, the...
cross-posted from: lemmy.ml/post/32856509
‘I was sold a lie by my education system’ On Real Talk this week, the...
‘I was sold a lie by my education system’ On Real Talk this week, the...
‘I was sold a lie by my education system’ On Real Talk this week, the acclaimed British historian William Dalrymple slams the country’s education system, telling @mhashem9 he believes it has distor...TankieTube
France's Macron visits UK with migration, Ukraine topping the agenda
https://www.euronews.com/my-europe/2025/07/08/frances-macron-visits-uk-with-migration-ukraine-topping-the-agenda?utm_source=flipboard&utm_medium=activitypub
Posted into Sci-Tech @sci-tech-euronews
France's Macron visits UK with migration, Ukraine topping the agenda
The French leader is set to arrive in Britain on Tuesday for a three-day state visit blending political talks and royal ceremony.Euronews.com
“As usual, the lack of a well-honed proverb to cover the situation reveals a blind spot in the popular culture, and this in turn is probably the reason why so few of us actively practice Problem Avoidance.”
— John Gall, The Systems Bible (The 3rd edition of Systemantics), 2002
(Fait partie des 87 espèces chassables en France)
#photographie #photography
D’autres photos ici sur mon site :
superbe-nature.fr/oiseaux/cygn…
‘I was sold a lie by my education system’ On Real Talk this week, the...
‘I was sold a lie by my education system’ On Real Talk this week, the...
‘I was sold a lie by my education system’ On Real Talk this week, the acclaimed British historian William Dalrymple slams the country’s education system, telling @mhashem9 he believes it has distor...TankieTube
🔴 C'EST CE SOIR 🔴
De nombreuses organisations dont la nôtre se sont ralliées pour appeler à une mobilisation sans précédent pour dénoncer les lignes rouges depuis trop longtemps franchies à #Gaza.
Plus nous serons nombreux·ses, plus notre message sera fort.
Venez et mobilisez !
UAE proptech Huspy raises $59M to scale in Europe
https://techcrunch.com/2025/07/07/uae-proptech-huspy-raises-59m-to-scale-in-europe/?utm_source=flipboard&utm_medium=activitypub
Posted into Latest TechCrunch Stories @latest-techcrunch-stories-Techcrunch
UAE proptech Huspy raises $59M to scale in Europe | TechCrunch
Huspy closes $59 million Series B to double down on operations across the Middle East and Europe, backed by Balderton Capital and Peak XV.Tage Kene-Okafor (TechCrunch)
French President Macron Heads to UK for State Visit
https://www.bloomberg.com/news/videos/2025-07-08/french-president-macron-heads-to-uk-for-state-visit?utm_source=flipboard&utm_medium=activitypub
Posted into Bloomberg Television @bloomberg-television-bloomberg
youtube.com/shorts/rfrfE7XdDp4
- YouTube
Profitez des vidéos et de la musique que vous aimez, mettez en ligne des contenus originaux, et partagez-les avec vos amis, vos proches et le monde entier.www.youtube.com
UAE proptech Huspy raises $59M to scale in Europe | TechCrunch
Huspy closes $59 million Series B to double down on operations across the Middle East and Europe, backed by Balderton Capital and Peak XV.Tage Kene-Okafor (TechCrunch)
De Knaller dinsdag 8 juli 2025
Fleetwood Mac - Seven Wonders (Official Music Video)
[HD]youtube.com/watch?v=9b4F_ppjnK…
- YouTube
Profitez des vidéos et de la musique que vous aimez, mettez en ligne des contenus originaux, et partagez-les avec vos amis, vos proches et le monde entier.www.youtube.com
#photographie #photography
D’autres photos ici sur mon site :
superbe-nature.fr/insectes/pun…
heise+ | Wertpapier-Analysetools für Fortgeschrittene
Wer regelmäßig mit Wertpapieren handelt, braucht eine gute Wissensgrundlage. Wir haben Onlinequellen zusammengetragen, die Ihnen seriöse Informationen liefern.
Parfois, on entend des mensonges, on se dit que ceux qui les prononcent sont nés avant la honte...
Another photo from the Rafael Anton Irisarri and Abul Mogard concert at Morphine Raum earlier this year.
#photography #blackAndWhite #concerts #blacknoll #music #gigs
leonard.earth/2025/07/08/rafae…
Rafael Anton Irisarri
Another photo from the Rafael Anton Irisarri and Abul Mogard concert at Morphine Raum earlier this year. Long waves of distorted, bowed, and effected guitar washed over us throughout the show. A mo…On a Variety of Topics
As Helen Atherton (USouthampton) points out, what patients really want from GPs surgeries is better & quicker access to doctors.
As she concludes: 'The government must stop assuming technology is the answer & start listening to what patients are actually telling them'... in other words rather than being driven just by the numbers (data), reform of the health service should include a clear(er) understanding of the patient experience.
theconversation.com/what-peopl…
What people really want from their GP – it’s simpler than you might think
Patients are being clear about what they want but nobody’s listening.The Conversation
@jna
Pretty much the only reason i stay with the practice we are registered with is that we have a brilliant & compassionate young doctor who always accords us (in relation to my wife's various 'issues') face to face time, and schedules it so we can spend up to 45mins with her... the rest of the practice is not run well in my view, but I'll put up with all that because she is a gem!
so does any clearly thinking adult paying attention
"Palestinians fear Israel is preparing to annex the West Bank"
reshared this
Lanterns in Temple Street with bonus bamboo scaffolding in the background
Hong Kong 2025 Collection: pixelfed.social/c/843720250801…
#Photography #香港 #HongKong #HongKongPhotos #Lanterns #ChineseLanterns
1910, and an article by the great Octavio Chanute gives you the latest.
But we're tempted to immediately smirk at the photos of the latest inventions... one folly after another.
There is another way of thinking of these attempts. They were necessary for evolution to occur. There's potentially no Concorde jet without these interstitial models.
Honor the striving for the goal, regardless of the degree "success".
More attempts, more momentum to the goal
#history #aviation #science
Ci sono però situazioni in cui non puoi evitare che l’orizzonte passi vicino al soggetto. In questi casi, usa una profondità di campo ridotta per renderlo meno invasivo. Fotografando con l’apertura più ampia possibile l’orizzonte diventa morbido e sfocato, fondendosi con lo sfondo. Ad esempio, se stai fotografando un #Capovaccaio in volo, la sfocatura dell’orizzonte..Continua a leggere: galassianatura.it/pixeldinatur…
Non lasciare che l’orizzonte rovini le tue foto - Pixel di Natura
SUGGERIMENTI & CONSIGLI - Impara a usare la linea dell’orizzonte per creare composizioni fotografiche armoniose ed efficaci...Pixel di Natura
Yemeni Air Defenses Confront Israeli Attack on Hodeidah
The Yemeni Armed Forces announced Monday they successfully confronted and neutralized a significant ...Al-Manar TV Lebanon
Ruth — of systems & em dashes
in reply to Ruth — of systems & em dashes • • •‘An Airplane has been defined as a collection of parts having an inherent tendency to fall to earth, and requiring constant effort and supervision to stave off that outcome. The System called "airplane" may have been designed to fly, but the parts don't share that tendency. In fact, they share the opposite tendency. And the System will fly—if at all—only as a System.’
— John Gall, The Systems Bible
Dr. ir. Brian R. Pauw reshared this.