Redazione RHC : 3 Giugno 2022 00:27
I ricercatori che hanno analizzato le chat trapelate della famigerata operazione ransomware Conti, hanno scoperto che i team all’interno del gruppo di criminalità informatica russa stavano attivamente sviluppando hack per il firmware.
Secondo i messaggi scambiati tra i membri del gruppo, gli sviluppatori di Conti avevano creato un codice PoC (Proof-of-concept) che sfruttava il Management Engine (ME) di Intel per ottenere l’esecuzione SMM (System Management Mode).
ME è un microcontrollore incorporato all’interno di chipset Intel che esegue un micro-OS per fornire servizi fuori banda. Conti stava analizzando quel componente per trovare funzioni e comandi non documentati che avrebbe potuto sfruttare.
Distribuisci i nostri corsi di formazione diventando un nostro Affiliato
Se sei un influencer, gestisci una community, un blog, un profilo social o semplicemente hai tanta voglia di diffondere cultura digitale e cybersecurity, questo è il momento perfetto per collaborare con RHC Academy. Unisciti al nostro Affiliate Program: potrai promuovere i nostri corsi online e guadagnare provvigioni ad ogni corso venduto. Fai parte del cambiamento. Diffondi conoscenza, costruisci fiducia, genera valore.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Da lì, Conti potrebbe accedere alla memoria flash che ospita il firmware UEFI/BIOS, ignorare le protezioni in scrittura ed eseguire l’esecuzione di codice arbitrario sul sistema compromesso.
L’obiettivo finale sarebbe quello di eliminare un impianto SMM che funzioni con i privilegi di sistema più elevati possibili (ring-0) mentre praticamente non è rilevabile dagli strumenti di sicurezza a livello di sistema operativo.
È importante notare che, contrariamente al modulo di TrickBot che mirava ai difetti del firmware UEFI, i nuovi risultati indicano che i black hacker stavano cercando di scoprire nuove vulnerabilità sconosciute in ME.
Affinché un attacco al firmware sia possibile, gli attori del ransomware devono prima accedere al sistema tramite un percorso comune come il phishing, lo sfruttamento di una vulnerabilità o l’esecuzione di un attacco alla catena di approvvigionamento.
Dopo aver compromesso il ME, gli aggressori dovrebbero seguire un piano di attacco basato su quali regioni della memoria possono accedere, a seconda dell’implementazione della ME e di varie restrizioni/protezioni.
Eclypsium afferma che sarebbe possibile sovrascrivere il descrittore SPI e spostare l’UEFI/BIOS al di fuori dell’area protetta o l’accesso diretto alla regione del BIOS.
C’è anche lo scenario in cui nemmeno l’ME non ha accesso, nel qual caso gli attori delle minacce potrebbero sfruttare il Management Engine di Intel per forzare un avvio da un supporto virtuale e sbloccare le protezioni PCH che sono alla base del controller SPI.
Conti potrebbe utilizzare questo flusso di attacco per bloccare i sistemi in modo permanente, ottenere la massima persistenza, eludere i rilevamenti di antivirus ed EDR e bypassare tutti i controlli di sicurezza a livello di sistema operativo.
Anche se l’operazione Conti sembra essersi chiusa , molti dei suoi membri sono passati ad altre operazioni di ransomware dove continuano a condurre attacchi.
Ciò significa anche che tutto il lavoro svolto per sviluppare di exploit come quello individuato da Eclypsium nelle chat trapelate continuerà ad esistere.
Come spiegano i ricercatori, Conti disponeva di un PoC funzionante per questi attacchi dalla scorsa estate, quindi è probabile che abbiano già avuto la possibilità di utilizzarlo in attacchi reali.
Il RaaS potrebbe tornare in una forma rinominata, i membri principali potrebbero unirsi ad altre operazioni di ransomware e, nel complesso, gli exploit continueranno a essere utilizzati.
Per proteggerti dalle minacce, applica gli aggiornamenti firmware disponibili per il tuo hardware, monitora ME per le modifiche alla configurazione e verifica regolarmente l’integrità della flash SPI.
RedazioneI ricercatori di Okta hanno notato che aggressori sconosciuti stanno utilizzando lo strumento di intelligenza artificiale generativa v0 di Vercel per creare pagine false che imitano qu...
Google è al centro di un’imponente causa in California che si è conclusa con la decisione di pagare oltre 314 milioni di dollari agli utenti di smartphone Android nello stato. Una giu...
La RHC Conference 2025, organizzata da Red Hot Cyber, ha rappresentato un punto di riferimento per la comunità italiana della cybersecurity, offrendo un ricco programma di talk, workshop e compet...
Nella giornata di ieri, Red Hot Cyber ha pubblicato un approfondimento su una grave vulnerabilità scoperta in SUDO (CVE-2025-32463), che consente l’escalation dei privilegi a root in ambie...
Il Dipartimento di Giustizia degli Stati Uniti ha annunciato la scoperta di un sistema su larga scala in cui falsi specialisti IT provenienti dalla RPDC i quali ottenevano lavoro presso aziende americ...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
