Benvenuto su Hacking News Live 24h, la fonte in tempo reale per tutte le news di hacking, cybercrime e cybersecurity.
Aggiorniamo costantemente le notizie 24 ore su 24 con report tecnici, indagini digitali e analisi sugli attacchi più recenti.
Molte bande di ransomware utilizzano una piattaforma packer-as-a-service denominata Shanya per distribuire payload che disabilitano le soluzioni di rilevamento e risposta degli endpoint sui sistemi delle vittime.
I servizi Packer forniscono ai criminali informatici strumenti specializzati per confezionare i loro payload in modo da offuscare il codice dannoso eludendo il rilevamento da parte della maggior parte degli strumenti di sicurezza e dei motori antivirus più noti.
L'operazione Shanya packer è emersa alla fine del 2024 e la sua popolarità è cresciuta notevolmente: campioni di malware che la utilizzano sono stati individuati in Tunisia, Emirati Arabi Uniti, Costa Rica, Nigeria e Pakistan, secondo i dati di telemetria di Sophos Security.
Tra i gruppi ransomware che hanno confermato di averlo utilizzato ci sono Medusa, Qilin, Crytox e Akira, quest'ultimo è quello che utilizza più spesso il servizio di compressione.
Come funziona Shanya
Gli autori delle minacce inviano i loro payload dannosi a Shanya e il servizio restituisce una versione "compressa" con un wrapper personalizzato, utilizzando crittografia e compressione.
Il servizio promuove la singolarità dei payload risultanti, evidenziando il "caricamento non standard del modulo nella memoria, wrapper sull'unicità del loaderStub del sistema", con "ogni cliente che riceve il proprio stub (relativamente) univoco con un algoritmo di crittografia univoco al momento dell'acquisto".
Il payload viene inserito in una copia mappata in memoria del file DLL di Windows 'shell32.dll'. Questo file DLL ha sezioni eseguibili e dimensioni apparentemente valide e il suo percorso sembra normale, ma l'intestazione e la sezione .text sono state sovrascritte con il payload decrittografato.
Mentre il payload è crittografato all'interno del file compresso, viene decrittografato e decompresso mentre è ancora interamente in memoria, e poi inserito nel file di copia 'shell32.dll', senza mai toccare il disco.
I ricercatori di Sophos hanno scoperto che Shanya esegue controlli per le soluzioni di rilevamento e risposta degli endpoint (EDR) chiamando la funzione 'RtlDeleteFunctionTable' in un contesto non valido.
Ciò innesca un'eccezione non gestita o un arresto anomalo durante l'esecuzione con un debugger in modalità utente, interrompendo l'analisi automatizzata prima dell'esecuzione completa del payload.
Disabilitazione degli EDR
I gruppi ransomware in genere cercano di disattivare gli strumenti EDR in esecuzione sul sistema di destinazione prima delle fasi di furto e crittografia dei dati dell'attacco.
L'esecuzione avviene solitamente tramite caricamento laterale di DLL, combinando un eseguibile Windows legittimo come 'consent.exe' con una DLL dannosa compressa da Shanya come msimg32.dll, version.dll, rtworkq.dll o wmsgapi.dll.
Secondo l'analisi di Sophos, l'EDR killer rilascia due driver: un ThrottleStop.sys (rwdrv.sys) legittimamente firmato da TechPowerUp, che contiene un difetto che consente la scrittura arbitraria della memoria del kernel, e un hlpdrv.sys non firmato.
Il driver firmato viene utilizzato per l'escalation dei privilegi, mentre hlpdrv.sys disabilita i prodotti di sicurezza in base ai comandi ricevuti dalla modalità utente.
Il componente in modalità utente enumera i processi in esecuzione e i servizi installati, quindi confronta i risultati con le voci in un ampio elenco hardcoded, inviando un comando "kill" al driver del kernel dannoso per ogni corrispondenza.
Oltre agli operatori di ransomware concentrati sulla disattivazione dell'EDR, Sophos ha anche osservato recenti campagne ClickFix che utilizzano il servizio Shanya per impacchettare il malware CastleRAT.
Sophos sottolinea che le bande di ransomware spesso si affidano a servizi di compressione per preparare i killer EDR in modo che vengano distribuiti senza essere rilevati.
I ricercatori forniscono un'analisi tecnica dettagliata di alcuni dei carichi utili trasportati da Shanya.
Il rapporto include anche indicatori di compromissione (IoC) associati alle campagne basate su Shanya.
Eliminare i silos IAM come Bitpanda, KnowBe4 e PathAI
Un IAM non funzionante non è solo un problema IT: le conseguenze si ripercuotono sull'intera azienda.
Questa guida pratica illustra i motivi per cui le pratiche IAM tradizionali non riescono a tenere il passo con le esigenze moderne, fornisce esempi di come si presenta un "buon" IAM e fornisce una semplice checklist per creare una strategia scalabile.
Articoli correlati:
Ransomware IAB abusa dell'EDR per l'esecuzione furtiva di malware
Secondo FinCEN, le bande di ransomware hanno estorto oltre 2,1 miliardi di dollari dal 2022 al 2024
L'azienda farmaceutica Inotiv rivela una violazione dei dati dopo un attacco ransomware
Il gigante giapponese della birra Asahi afferma che la violazione dei dati ha colpito 1,5 milioni di persone
Ricomporre il puzzle: un'indagine sul ransomware Qilin
Seguici anche su:
- 📖 eBook Italiano
- 🌎 eBook English version
- 🎥 YouTube