Aggiornamenti recenti Novembre 21st, 2024 8:55 PM
Nov 04, 2020 Marco Schiaffino In evidenza, Malware, News, RSS, Scenario 0
C’è voluto un po’ di tempo, ma nel campionario di ransomware utilizzati dai cyber criminali è comparso anche un malware specializzato nella compromissione di sistemi virtuali. Si chiama RegretLocker e rappresenta una bella gatta da pelare per tutti gli amministratori IT.
Ad analizzarne il modus operandi ci ha pensato Vitali Kremez, ricercatore che ha pubblicato su Twitter le informazioni sul ransomware.
2020-11-03: 🆕👁🗨#RegretLocker #Ransomware 🔒
Weaponizes Windows Virtualization for Ransomware🔥
1⃣open_virtual_drive
/*
OpenVirtualDisk➡️AttachVirtualDisk➡️ GetVirtualDiskPhysicalPath➡️.➡️
*/
2⃣smb_scanner
3⃣crypted_callback
4⃣get_process_opened_file (Rm*)h/t @malwrhunterteam pic.twitter.com/uCRNahJbqP
— Vitali Kremez (@VK_Intel) November 3, 2020
Ma perché un ransomware specializzato in macchine virtuali? Per capirlo, è necessaria qualche premessa. La prima riguarda gli obiettivi dei pirati informatici: è da tempo che i criminali specializzati in attacchi ransomware hanno tra i loro bersagli privilegiati le aziende.
Una strategia piuttosto comprensibile: colpire un’impresa consente infatti di estorcere some molto più consistenti rispetto a quanto sia possibile spillare a un comune cittadino. La cronaca recente riporta casi di riscatti milionari che, in molti casi, sono stati pagati.
Il fenomeno della digitalizzazione e il passaggio ai sistemi virtualizzati basati su piattaforme cloud, però, i pirati hanno cominciato a riscontrare qualche difficoltà.
Le macchine virtuali, infatti, usano unità disco che sono “racchiuse” in singoli file di dimensioni notevoli, che i crypto-ransomware faticano a compromettere in tempi brevi. In altre parole: quando un ransomware deve “prendere in ostaggio” tanti singoli file di piccole dimensioni, riesce a farlo più rapidamente di quando si trova ad avere a che fare con un unico file di grandi dimensioni.
La conseguenza è che i sistemi di protezione (o gli amministratori di sistema) hanno a disposizione più tempo per accorgersi di ciò che sta succedendo e bloccare l’attacco.
Gli autori di RegretLocker, però, hanno trovato un sistema per aggirare l’ostacolo. Come spiega, iIl malware utilizza un software per montare il disco virtuale e avviare la crittazione dei dati all’interno di un ambiente che gli consente di agire come su una macchina fisica.
Nel dettaglio, RegretLocker utilizza il sistema di virtualizzazione di Windows basato su API per montare il file e accedervi.
Il malware, inoltre, adotta anche una serie di accorgimenti, come quello di utilizzare l’Api Windows Restart Manager per terminare tutti i processi e i servizi che mantengono aperto uno dei file che sono sottoposti a crittografia, impedendone così il recupero per vie traverse.
Nov 19, 2024 0
Nov 11, 2024 0
Nov 06, 2024 0
Ott 28, 2024 0
Nov 21, 2024 0
Nov 21, 2024 0
Nov 20, 2024 0
Nov 18, 2024 0
Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 14, 2024 0
L’FBI ha lanciato un allarme: stando a un avviso...Nov 13, 2024 0
I ricercatori di Securonix hanno scoperto CRON#TRAP, una...Nov 12, 2024 0
Le minacce APT sono in aumento e in molti casi stanno...Nov 11, 2024 0
Kaspersky ha collaborato a Synergia II, operazione...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Nov 21, 2024 0
Playlist e podcast sono l’esca ideale per attirare ignari...Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 20, 2024 0
Una campagna di spionaggio a opera di hacker cinesi ha...Nov 19, 2024 0
I ricercatori di Sekoia hanno individuato una nuova...Nov 18, 2024 0
István Márton, ricercatore di Wordfence, ha individuato...