Aggiornamenti recenti Aprile 26th, 2024 9:14 AM
Mar 18, 2024 Marina Londei Hacking, In evidenza, Minacce, News, RSS 0
Il team di SonicWall Capture Labs ha scoperto di recente una nuova variante di StopCrypt che usa un meccanismo di esecuzione in più fasi per eludere i controlli di sicurezza.
StopCrypt, scoperto per la prima volta nel 2018, è un ransomware che, a differenza di LockBit, BlackCat o altri malware più conosciuti, colpisce i singoli utenti chiedendo riscatti relativamente bassi, dai 400 ai 1000 dollari. Generalmente questo ransomware viene distribuito tramite installer di falsi software gratuiti che, oltre a StopCrypt, distribuiscono anche trojan per sottrarre password e altre informazioni.
La nuova versione del ransomware usa un ciclo di infezione in più fasi per superare i controlli di sicurezza. All’inizio dell’esecuzione, crea ed esegue un file .dll che non viene però usato nelle fasi successive; i ricercatori sostengono che sia un diversivo per eludere i controlli.
Entrato nel vivo dell’esecuzione, il ransomware crea delle chiamate a API direttamente sullo stack e alloca la memoria necessaria per avere permessi di lettura, scrittura ed esecuzione. Durante questa fase StopCrypt definisce una serie di funzioni per eseguire operazioni sul dispositivo, tra le quali anche catturare uno screenshot dei processi in esecuzione.
La seconda fase del payload consiste nel process hollowing, una tecnica di code injection che rimpiazza i processi legittimi in esecuzione con il payload del malware; ciò permette di “nascondere” il codice malevolo nei processi così che venga eseguito senza essere bloccato.
Nella fase finale, il ransomware esegue una serie di API per controllare l’esecuzione dei processi e le operazioni sulla memoria, oltre che per ottenere persistenza sul dispositivo. StopCrypt lancia il processo “icacls.exe” per accedere e modificare le Access Control List di Windows, negando l’accesso all’utente alla directory del ransomware. Infine, il ransomware crea un task che esegue una copia del payload finale ogni cinque minuti, poi procede alla cifratura dei file.
Nella nota di riscatto gli attaccanti chiedono 980 dollari per decifrare i file, prezzo che scende a 490 dollari se il pagamento avviene entro 72 ore dall’attacco.
StopCrypto, del quale finora si è sempre parlato poco visti gli impatti contenuti, ha assunto una certa importanza nel mondo della cybersecurity dopo questa evoluzione: il ransomware è diventato più difficile da individuare e quindi contrastare con i normali strumenti di protezione.
Il consiglio è, come sempre, di non scaricare mai software da siti terzi, ma solo da fonti ufficiali e affidabili
Apr 23, 2024 0
Apr 22, 2024 0
Apr 22, 2024 0
Apr 22, 2024 0
Apr 26, 2024 0
Apr 24, 2024 0
Apr 24, 2024 0
Apr 23, 2024 0
Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Apr 15, 2024 0
Il 41% delle imprese italiane subisce mensilmente attacchi...Apr 12, 2024 0
In occasione del Privacy Tour 2024, l’iniziativa del...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Apr 26, 2024 0
I ricercatori di Avast hanno scoperto una nuova campagna...Apr 24, 2024 0
I ricercatori di Cisco Talos hanno scoperto una nuova...Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 23, 2024 0
In occasione dell’Italian Partner Conferencetenutasi...Apr 23, 2024 0
Un team di ricercatori ha sviluppato quello che ritengono...