Il team di SonicWall Capture Labs ha individuato una nuova variante del ransomware StopCrypt che utilizza un avanzato meccanismo di esecuzione in più fasi per sfuggire ai controlli di sicurezza.
StopCrypt, identificato per la prima volta nel 2018, si distingue dagli altri ransomware noti come LockBit o BlackCat poiché mira principalmente agli utenti singoli, richiedendo riscatti relativamente modesti, compresi tra i 400 e i 1000 dollari. Questo ransomware solitamente si diffonde attraverso installer di software gratuiti falsi che, oltre a StopCrypt, contengono anche trojan progettati per rubare password e altre informazioni sensibili.
La nuova versione del ransomware adotta un ciclo di infezione composto da diverse fasi per superare i controlli di sicurezza. Inizialmente, durante l’esecuzione, crea ed esegue un file .dll che, tuttavia, non viene utilizzato nelle fasi successive; secondo gli esperti, questo potrebbe essere un diversivo per eludere i controlli di sicurezza.
Successivamente, durante l’esecuzione principale, il ransomware effettua chiamate API direttamente sullo stack e alloca la memoria necessaria per ottenere permessi di lettura, scrittura ed esecuzione. Durante questa fase, StopCrypt definisce una serie di funzioni per eseguire operazioni sul dispositivo, compresa la cattura di screenshot dei processi in esecuzione.
La seconda fase del payload comporta l’utilizzo del “process hollowing”, una tecnica di injection del codice che sostituisce i processi legittimi in esecuzione con il payload del malware, consentendo al codice maligno di essere eseguito senza essere rilevato.
Infine, nella fase finale, il ransomware esegue una serie di API per controllare l’esecuzione dei processi e le operazioni di memoria, ottenendo inoltre la persistenza sul dispositivo. StopCrypt avvia il processo “icacls.exe” per accedere e modificare le Access Control List di Windows, impedendo all’utente l’accesso alla directory del ransomware. Infine, il ransomware crea un task che copia il payload finale ogni cinque minuti, prima di procedere con la cifratura dei file.
Nella richiesta di riscatto, gli attaccanti chiedono 980 dollari per decifrare i file, ma offrono uno sconto a 490 dollari se il pagamento viene effettuato entro 72 ore dall’attacco.
StopCrypt, nonostante i suoi impatti relativamente limitati fino ad ora, ha guadagnato una maggiore attenzione nel campo della sicurezza informatica dopo questa evoluzione. Il ransomware è diventato più difficile da individuare e contrastare con gli strumenti di protezione convenzionali.
Come sempre, si consiglia di evitare di scaricare software da fonti non ufficiali e affidabili per ridurre il rischio di infezioni da ransomware e altri malware.
https://www.securityinfo.it/2024/03/18/il-ransomware-stopcrypt-evolve-per-eludere-la-sicurezza/
https://blog.sonicwall.com/en-us/2024/03/new-multi-stage-stopcrypt-ransomware/
