Aggiornamenti recenti Novembre 22nd, 2024 9:00 AM
Mar 18, 2024 Marina Londei Hacking, In evidenza, Minacce, News, RSS 0
Il team di SonicWall Capture Labs ha scoperto di recente una nuova variante di StopCrypt che usa un meccanismo di esecuzione in più fasi per eludere i controlli di sicurezza.
StopCrypt, scoperto per la prima volta nel 2018, è un ransomware che, a differenza di LockBit, BlackCat o altri malware più conosciuti, colpisce i singoli utenti chiedendo riscatti relativamente bassi, dai 400 ai 1000 dollari. Generalmente questo ransomware viene distribuito tramite installer di falsi software gratuiti che, oltre a StopCrypt, distribuiscono anche trojan per sottrarre password e altre informazioni.
La nuova versione del ransomware usa un ciclo di infezione in più fasi per superare i controlli di sicurezza. All’inizio dell’esecuzione, crea ed esegue un file .dll che non viene però usato nelle fasi successive; i ricercatori sostengono che sia un diversivo per eludere i controlli.
Entrato nel vivo dell’esecuzione, il ransomware crea delle chiamate a API direttamente sullo stack e alloca la memoria necessaria per avere permessi di lettura, scrittura ed esecuzione. Durante questa fase StopCrypt definisce una serie di funzioni per eseguire operazioni sul dispositivo, tra le quali anche catturare uno screenshot dei processi in esecuzione.
La seconda fase del payload consiste nel process hollowing, una tecnica di code injection che rimpiazza i processi legittimi in esecuzione con il payload del malware; ciò permette di “nascondere” il codice malevolo nei processi così che venga eseguito senza essere bloccato.
Nella fase finale, il ransomware esegue una serie di API per controllare l’esecuzione dei processi e le operazioni sulla memoria, oltre che per ottenere persistenza sul dispositivo. StopCrypt lancia il processo “icacls.exe” per accedere e modificare le Access Control List di Windows, negando l’accesso all’utente alla directory del ransomware. Infine, il ransomware crea un task che esegue una copia del payload finale ogni cinque minuti, poi procede alla cifratura dei file.
Nella nota di riscatto gli attaccanti chiedono 980 dollari per decifrare i file, prezzo che scende a 490 dollari se il pagamento avviene entro 72 ore dall’attacco.
StopCrypto, del quale finora si è sempre parlato poco visti gli impatti contenuti, ha assunto una certa importanza nel mondo della cybersecurity dopo questa evoluzione: il ransomware è diventato più difficile da individuare e quindi contrastare con i normali strumenti di protezione.
Il consiglio è, come sempre, di non scaricare mai software da siti terzi, ma solo da fonti ufficiali e affidabili
Nov 19, 2024 0
Nov 11, 2024 0
Nov 11, 2024 0
Nov 06, 2024 0
Nov 22, 2024 0
Nov 21, 2024 0
Nov 21, 2024 0
Nov 20, 2024 0
Nov 22, 2024 0
Secondo una ricerca di F5 Labs, gli attacchi DDoS sono...Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 14, 2024 0
L’FBI ha lanciato un allarme: stando a un avviso...Nov 13, 2024 0
I ricercatori di Securonix hanno scoperto CRON#TRAP, una...Nov 12, 2024 0
Le minacce APT sono in aumento e in molti casi stanno...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Nov 22, 2024 0
Secondo una ricerca di F5 Labs, gli attacchi DDoS sono...Nov 21, 2024 0
Playlist e podcast sono l’esca ideale per attirare ignari...Nov 21, 2024 0
Google ha annunciato di aver trovato 26 nuove...Nov 20, 2024 0
Una campagna di spionaggio a opera di hacker cinesi ha...Nov 19, 2024 0
I ricercatori di Sekoia hanno individuato una nuova...