Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Redazione RHC : 3 Giugno 2022 00:27
I ricercatori che hanno analizzato le chat trapelate della famigerata operazione ransomware Conti, hanno scoperto che i team all’interno del gruppo di criminalità informatica russa stavano attivamente sviluppando hack per il firmware.
Secondo i messaggi scambiati tra i membri del gruppo, gli sviluppatori di Conti avevano creato un codice PoC (Proof-of-concept) che sfruttava il Management Engine (ME) di Intel per ottenere l’esecuzione SMM (System Management Mode).
ME è un microcontrollore incorporato all’interno di chipset Intel che esegue un micro-OS per fornire servizi fuori banda. Conti stava analizzando quel componente per trovare funzioni e comandi non documentati che avrebbe potuto sfruttare.
Iscriviti GRATIS alla RHC Conference 2025 (Venerdì 9 maggio 2025)
Il giorno Venerdì 9 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà
la RHC Conference 2025. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.
La giornata inizierà alle 9:30 (con accoglienza dalle 9:00) e sarà interamente dedicata alla RHC Conference, un evento di spicco nel campo della sicurezza informatica. Il programma prevede un panel con ospiti istituzionali che si terrà all’inizio della conferenza. Successivamente, numerosi interventi di esperti nazionali nel campo della sicurezza informatica si susseguiranno sul palco fino alle ore 19:00 circa, quando termineranno le sessioni. Prima del termine della conferenza, ci sarà la premiazione dei vincitori della Capture The Flag prevista per le ore 18:00.
Potete iscrivervi gratuitamente all'evento utilizzando questo link.
Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Da lì, Conti potrebbe accedere alla memoria flash che ospita il firmware UEFI/BIOS, ignorare le protezioni in scrittura ed eseguire l’esecuzione di codice arbitrario sul sistema compromesso.
L’obiettivo finale sarebbe quello di eliminare un impianto SMM che funzioni con i privilegi di sistema più elevati possibili (ring-0) mentre praticamente non è rilevabile dagli strumenti di sicurezza a livello di sistema operativo.
È importante notare che, contrariamente al modulo di TrickBot che mirava ai difetti del firmware UEFI, i nuovi risultati indicano che i black hacker stavano cercando di scoprire nuove vulnerabilità sconosciute in ME.
Affinché un attacco al firmware sia possibile, gli attori del ransomware devono prima accedere al sistema tramite un percorso comune come il phishing, lo sfruttamento di una vulnerabilità o l’esecuzione di un attacco alla catena di approvvigionamento.
Dopo aver compromesso il ME, gli aggressori dovrebbero seguire un piano di attacco basato su quali regioni della memoria possono accedere, a seconda dell’implementazione della ME e di varie restrizioni/protezioni.
Eclypsium afferma che sarebbe possibile sovrascrivere il descrittore SPI e spostare l’UEFI/BIOS al di fuori dell’area protetta o l’accesso diretto alla regione del BIOS.
C’è anche lo scenario in cui nemmeno l’ME non ha accesso, nel qual caso gli attori delle minacce potrebbero sfruttare il Management Engine di Intel per forzare un avvio da un supporto virtuale e sbloccare le protezioni PCH che sono alla base del controller SPI.
Conti potrebbe utilizzare questo flusso di attacco per bloccare i sistemi in modo permanente, ottenere la massima persistenza, eludere i rilevamenti di antivirus ed EDR e bypassare tutti i controlli di sicurezza a livello di sistema operativo.
Anche se l’operazione Conti sembra essersi chiusa , molti dei suoi membri sono passati ad altre operazioni di ransomware dove continuano a condurre attacchi.
Ciò significa anche che tutto il lavoro svolto per sviluppare di exploit come quello individuato da Eclypsium nelle chat trapelate continuerà ad esistere.
Come spiegano i ricercatori, Conti disponeva di un PoC funzionante per questi attacchi dalla scorsa estate, quindi è probabile che abbiano già avuto la possibilità di utilizzarlo in attacchi reali.
Il RaaS potrebbe tornare in una forma rinominata, i membri principali potrebbero unirsi ad altre operazioni di ransomware e, nel complesso, gli exploit continueranno a essere utilizzati.
Per proteggerti dalle minacce, applica gli aggiornamenti firmware disponibili per il tuo hardware, monitora ME per le modifiche alla configurazione e verifica regolarmente l’integrità della flash SPI.
RedazioneMicrosoft ha confermato che il protocollo RDP (Remote Desktop Protocol) consente l’accesso ai sistemi Windows anche utilizzando password già modificate o revocate. L’azienda ha chia...
Una nuova campagna di phishing sta circolando in queste ore con un obiettivo ben preciso: spaventare le vittime con la minaccia di una multa stradale imminente e gonfiata, apparentemente proveniente d...
Negli ultimi giorni, NS Power, una delle principali aziende elettriche canadesi, ha confermato di essere stata vittima di un attacco informatico e ha pubblicato degli update all’interno della H...
1° Maggio, un giorno per onorare chi lavora, chi lotta per farlo in modo dignitoso e chi, troppo spesso, perde la vita mentre svolge la propria mansione. Nel 2025, l’Italia continua a pian...
Domani celebreremo uno degli elementi più iconici – e al tempo stesso vulnerabili – della nostra vita digitale: la password. Da semplice chiave d’accesso inventata negli anni...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
