Mar 18, 2024 Hacking, In evidenza, Minacce, News, RSS
Il team di SonicWall Capture Labs ha scoperto di recente una nuova variante di StopCrypt che usa un meccanismo di esecuzione in più fasi per eludere i controlli di sicurezza.
StopCrypt, scoperto per la prima volta nel 2018, è un ransomware che, a differenza di LockBit, BlackCat o altri malware più conosciuti, colpisce i singoli utenti chiedendo riscatti relativamente bassi, dai 400 ai 1000 dollari. Generalmente questo ransomware viene distribuito tramite installer di falsi software gratuiti che, oltre a StopCrypt, distribuiscono anche trojan per sottrarre password e altre informazioni.
La nuova versione del ransomware usa un ciclo di infezione in più fasi per superare i controlli di sicurezza. All’inizio dell’esecuzione, crea ed esegue un file .dll che non viene però usato nelle fasi successive; i ricercatori sostengono che sia un diversivo per eludere i controlli.
Entrato nel vivo dell’esecuzione, il ransomware crea delle chiamate a API direttamente sullo stack e alloca la memoria necessaria per avere permessi di lettura, scrittura ed esecuzione. Durante questa fase StopCrypt definisce una serie di funzioni per eseguire operazioni sul dispositivo, tra le quali anche catturare uno screenshot dei processi in esecuzione.
La seconda fase del payload consiste nel process hollowing, una tecnica di code injection che rimpiazza i processi legittimi in esecuzione con il payload del malware; ciò permette di “nascondere” il codice malevolo nei processi così che venga eseguito senza essere bloccato.
Nella fase finale, il ransomware esegue una serie di API per controllare l’esecuzione dei processi e le operazioni sulla memoria, oltre che per ottenere persistenza sul dispositivo. StopCrypt lancia il processo “icacls.exe” per accedere e modificare le Access Control List di Windows, negando l’accesso all’utente alla directory del ransomware. Infine, il ransomware crea un task che esegue una copia del payload finale ogni cinque minuti, poi procede alla cifratura dei file.
Nella nota di riscatto gli attaccanti chiedono 980 dollari per decifrare i file, prezzo che scende a 490 dollari se il pagamento avviene entro 72 ore dall’attacco.
StopCrypto, del quale finora si è sempre parlato poco visti gli impatti contenuti, ha assunto una certa importanza nel mondo della cybersecurity dopo questa evoluzione: il ransomware è diventato più difficile da individuare e quindi contrastare con i normali strumenti di protezione.
Il consiglio è, come sempre, di non scaricare mai software da siti terzi, ma solo da fonti ufficiali e affidabili