Aggiornamenti recenti Ottobre 10th, 2024 5:00 PM
Mar 18, 2024 Marina Londei Hacking, In evidenza, Minacce, News, RSS 0
Il team di SonicWall Capture Labs ha scoperto di recente una nuova variante di StopCrypt che usa un meccanismo di esecuzione in più fasi per eludere i controlli di sicurezza.
StopCrypt, scoperto per la prima volta nel 2018, è un ransomware che, a differenza di LockBit, BlackCat o altri malware più conosciuti, colpisce i singoli utenti chiedendo riscatti relativamente bassi, dai 400 ai 1000 dollari. Generalmente questo ransomware viene distribuito tramite installer di falsi software gratuiti che, oltre a StopCrypt, distribuiscono anche trojan per sottrarre password e altre informazioni.
La nuova versione del ransomware usa un ciclo di infezione in più fasi per superare i controlli di sicurezza. All’inizio dell’esecuzione, crea ed esegue un file .dll che non viene però usato nelle fasi successive; i ricercatori sostengono che sia un diversivo per eludere i controlli.
Entrato nel vivo dell’esecuzione, il ransomware crea delle chiamate a API direttamente sullo stack e alloca la memoria necessaria per avere permessi di lettura, scrittura ed esecuzione. Durante questa fase StopCrypt definisce una serie di funzioni per eseguire operazioni sul dispositivo, tra le quali anche catturare uno screenshot dei processi in esecuzione.
La seconda fase del payload consiste nel process hollowing, una tecnica di code injection che rimpiazza i processi legittimi in esecuzione con il payload del malware; ciò permette di “nascondere” il codice malevolo nei processi così che venga eseguito senza essere bloccato.
Nella fase finale, il ransomware esegue una serie di API per controllare l’esecuzione dei processi e le operazioni sulla memoria, oltre che per ottenere persistenza sul dispositivo. StopCrypt lancia il processo “icacls.exe” per accedere e modificare le Access Control List di Windows, negando l’accesso all’utente alla directory del ransomware. Infine, il ransomware crea un task che esegue una copia del payload finale ogni cinque minuti, poi procede alla cifratura dei file.
Nella nota di riscatto gli attaccanti chiedono 980 dollari per decifrare i file, prezzo che scende a 490 dollari se il pagamento avviene entro 72 ore dall’attacco.
StopCrypto, del quale finora si è sempre parlato poco visti gli impatti contenuti, ha assunto una certa importanza nel mondo della cybersecurity dopo questa evoluzione: il ransomware è diventato più difficile da individuare e quindi contrastare con i normali strumenti di protezione.
Il consiglio è, come sempre, di non scaricare mai software da siti terzi, ma solo da fonti ufficiali e affidabili
Ott 09, 2024 0
Ott 07, 2024 0
Ott 01, 2024 0
Set 30, 2024 0
Ott 10, 2024 0
Ott 10, 2024 0
Ott 09, 2024 0
Ott 08, 2024 0
Ott 10, 2024 0
Negli ultimi anni il numero di campagne di business email...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 09, 2024 0
Acronis ha rilasciato il suo report “Acronis...Ott 03, 2024 0
Dopo essere entrata in vigora il 17 gennaio 2023, la NIS2...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Ott 10, 2024 0
I ricercatori di Jscrambler hanno individuato peculiare...Ott 10, 2024 0
Negli ultimi anni il numero di campagne di businessOtt 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 09, 2024 0
Acronis ha rilasciato il suo report “Acronis...Ott 08, 2024 0
I ricercatori di ESET hanno scoperto le attività di...