Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 3 Giugno 2022 00:27
I ricercatori che hanno analizzato le chat trapelate della famigerata operazione ransomware Conti, hanno scoperto che i team all’interno del gruppo di criminalità informatica russa stavano attivamente sviluppando hack per il firmware.
Secondo i messaggi scambiati tra i membri del gruppo, gli sviluppatori di Conti avevano creato un codice PoC (Proof-of-concept) che sfruttava il Management Engine (ME) di Intel per ottenere l’esecuzione SMM (System Management Mode).
ME è un microcontrollore incorporato all’interno di chipset Intel che esegue un micro-OS per fornire servizi fuori banda. Conti stava analizzando quel componente per trovare funzioni e comandi non documentati che avrebbe potuto sfruttare.
 Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀
Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮.
Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Da lì, Conti potrebbe accedere alla memoria flash che ospita il firmware UEFI/BIOS, ignorare le protezioni in scrittura ed eseguire l’esecuzione di codice arbitrario sul sistema compromesso.
L’obiettivo finale sarebbe quello di eliminare un impianto SMM che funzioni con i privilegi di sistema più elevati possibili (ring-0) mentre praticamente non è rilevabile dagli strumenti di sicurezza a livello di sistema operativo.
È importante notare che, contrariamente al modulo di TrickBot che mirava ai difetti del firmware UEFI, i nuovi risultati indicano che i black hacker stavano cercando di scoprire nuove vulnerabilità sconosciute in ME.
Affinché un attacco al firmware sia possibile, gli attori del ransomware devono prima accedere al sistema tramite un percorso comune come il phishing, lo sfruttamento di una vulnerabilità o l’esecuzione di un attacco alla catena di approvvigionamento.
Dopo aver compromesso il ME, gli aggressori dovrebbero seguire un piano di attacco basato su quali regioni della memoria possono accedere, a seconda dell’implementazione della ME e di varie restrizioni/protezioni.
Eclypsium afferma che sarebbe possibile sovrascrivere il descrittore SPI e spostare l’UEFI/BIOS al di fuori dell’area protetta o l’accesso diretto alla regione del BIOS.
C’è anche lo scenario in cui nemmeno l’ME non ha accesso, nel qual caso gli attori delle minacce potrebbero sfruttare il Management Engine di Intel per forzare un avvio da un supporto virtuale e sbloccare le protezioni PCH che sono alla base del controller SPI.
Conti potrebbe utilizzare questo flusso di attacco per bloccare i sistemi in modo permanente, ottenere la massima persistenza, eludere i rilevamenti di antivirus ed EDR e bypassare tutti i controlli di sicurezza a livello di sistema operativo.
Anche se l’operazione Conti sembra essersi chiusa , molti dei suoi membri sono passati ad altre operazioni di ransomware dove continuano a condurre attacchi.
Ciò significa anche che tutto il lavoro svolto per sviluppare di exploit come quello individuato da Eclypsium nelle chat trapelate continuerà ad esistere.
Come spiegano i ricercatori, Conti disponeva di un PoC funzionante per questi attacchi dalla scorsa estate, quindi è probabile che abbiano già avuto la possibilità di utilizzarlo in attacchi reali.
Il RaaS potrebbe tornare in una forma rinominata, i membri principali potrebbero unirsi ad altre operazioni di ransomware e, nel complesso, gli exploit continueranno a essere utilizzati.
Per proteggerti dalle minacce, applica gli aggiornamenti firmware disponibili per il tuo hardware, monitora ME per le modifiche alla configurazione e verifica regolarmente l’integrità della flash SPI.
Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
RedazioneIl MITRE ha reso pubblica la classifica delle 25 più pericolose debolezze software previste per il 2025, secondo i dati raccolti attraverso le vulnerabilità del national Vulnerability Database. Tali...
Un recente resoconto del gruppo Google Threat Intelligence (GTIG) illustra gli esiti disordinati della diffusione di informazioni, mettendo in luce come gli avversari più esperti abbiano già preso p...
All’interno del noto Dark Forum, l’utente identificato come “espansive” ha messo in vendita quello che descrive come l’accesso al pannello di amministrazione dell’Agenzia delle Entrate. Tu...
In seguito alla scoperta di due vulnerabilità zero-day estremamente critiche nel motore del browser WebKit, Apple ha pubblicato urgentemente degli aggiornamenti di sicurezza per gli utenti di iPhone ...
La recente edizione 2025.4 di Kali Linux è stata messa a disposizione del pubblico, introducendo significative migliorie per quanto riguarda gli ambienti desktop GNOME, KDE e Xfce. D’ora in poi, Wa...
