Aggiornamenti recenti Novembre 21st, 2024 8:55 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Come playlist e podcast su Spotify promuovono software pirata
- Google scopre 26 nuove vulnerabilità con l’IA di OSS-Fuzz
- Una grave data breach ha colpito le aziende statunitensi di telecomunicazioni
- Scoperta una nuova variante del ransomware Helldown che colpisce Linux
- Una vulnerabilità di un plugin di WordPress mette a rischio più di 4 milioni di siti
Il ransomware StopCrypt evolve per eludere la sicurezza
Il team di SonicWall Capture Labs ha scoperto di recente una nuova variante di StopCrypt che usa un meccanismo di esecuzione in più fasi per eludere i controlli di sicurezza.
StopCrypt, scoperto per la prima volta nel 2018, è un ransomware che, a differenza di LockBit, BlackCat o altri malware più conosciuti, colpisce i singoli utenti chiedendo riscatti relativamente bassi, dai 400 ai 1000 dollari. Generalmente questo ransomware viene distribuito tramite installer di falsi software gratuiti che, oltre a StopCrypt, distribuiscono anche trojan per sottrarre password e altre informazioni.
La nuova versione del ransomware usa un ciclo di infezione in più fasi per superare i controlli di sicurezza. All’inizio dell’esecuzione, crea ed esegue un file .dll che non viene però usato nelle fasi successive; i ricercatori sostengono che sia un diversivo per eludere i controlli.
Entrato nel vivo dell’esecuzione, il ransomware crea delle chiamate a API direttamente sullo stack e alloca la memoria necessaria per avere permessi di lettura, scrittura ed esecuzione. Durante questa fase StopCrypt definisce una serie di funzioni per eseguire operazioni sul dispositivo, tra le quali anche catturare uno screenshot dei processi in esecuzione.
Pixabay
La seconda fase del payload consiste nel process hollowing, una tecnica di code injection che rimpiazza i processi legittimi in esecuzione con il payload del malware; ciò permette di “nascondere” il codice malevolo nei processi così che venga eseguito senza essere bloccato.
Nella fase finale, il ransomware esegue una serie di API per controllare l’esecuzione dei processi e le operazioni sulla memoria, oltre che per ottenere persistenza sul dispositivo. StopCrypt lancia il processo “icacls.exe” per accedere e modificare le Access Control List di Windows, negando l’accesso all’utente alla directory del ransomware. Infine, il ransomware crea un task che esegue una copia del payload finale ogni cinque minuti, poi procede alla cifratura dei file.
Nella nota di riscatto gli attaccanti chiedono 980 dollari per decifrare i file, prezzo che scende a 490 dollari se il pagamento avviene entro 72 ore dall’attacco.
StopCrypto, del quale finora si è sempre parlato poco visti gli impatti contenuti, ha assunto una certa importanza nel mondo della cybersecurity dopo questa evoluzione: il ransomware è diventato più difficile da individuare e quindi contrastare con i normali strumenti di protezione.
Il consiglio è, come sempre, di non scaricare mai software da siti terzi, ma solo da fonti ufficiali e affidabili
Condividi l'articolo
Hacker sfruttano le eSIM per l'hijacking del numero di telefono
Resi noti i dettagli di una vulnerabilità Kubernetes a rischio elevato
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove... -
Aumentano le compromissioni di account email delle forze... L’FBI ha lanciato un allarme: stando a un avviso... -
Scoperta CRON#TRAP, campagna che emula ambienti Linux per... I ricercatori di Securonix hanno scoperto CRON#TRAP, una... -
Report APT ESET: i gruppi filo-cinesi e iraniani... Le minacce APT sono in aumento e in molti casi stanno... -
Kaspersky ha collaborato a Synergia II, operazione... Kaspersky ha collaborato a Synergia II, operazione...
Minacce recenti
Off topic
-
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul... -
In Microsoft le paghe dei manager dipenderanno dal livello... L’ultimo non è stato un buon anno per Microsoft:...
Post recenti
-
Come playlist e podcast su Spotify promuovono software... Playlist e podcast sono l’esca ideale per attirare ignari... -
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove...
-
Una grave data breach ha colpito le aziende statunitensi di... Una campagna di spionaggio a opera di hacker cinesi ha... -
Scoperta una nuova variante del ransomware Helldown che... I ricercatori di Sekoia hanno individuato una nuova... -
Una vulnerabilità di un plugin di WordPress mette a... István Márton, ricercatore di Wordfence, ha individuato...
Ransomware: la serie
No posts found.
