Redazione RHC : 3 Giugno 2022 00:27
I ricercatori che hanno analizzato le chat trapelate della famigerata operazione ransomware Conti, hanno scoperto che i team all’interno del gruppo di criminalità informatica russa stavano attivamente sviluppando hack per il firmware.
Secondo i messaggi scambiati tra i membri del gruppo, gli sviluppatori di Conti avevano creato un codice PoC (Proof-of-concept) che sfruttava il Management Engine (ME) di Intel per ottenere l’esecuzione SMM (System Management Mode).
ME è un microcontrollore incorporato all’interno di chipset Intel che esegue un micro-OS per fornire servizi fuori banda. Conti stava analizzando quel componente per trovare funzioni e comandi non documentati che avrebbe potuto sfruttare.
 Sponsorizza la prossima Red Hot Cyber Conference! Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Da lì, Conti potrebbe accedere alla memoria flash che ospita il firmware UEFI/BIOS, ignorare le protezioni in scrittura ed eseguire l’esecuzione di codice arbitrario sul sistema compromesso.
L’obiettivo finale sarebbe quello di eliminare un impianto SMM che funzioni con i privilegi di sistema più elevati possibili (ring-0) mentre praticamente non è rilevabile dagli strumenti di sicurezza a livello di sistema operativo.
È importante notare che, contrariamente al modulo di TrickBot che mirava ai difetti del firmware UEFI, i nuovi risultati indicano che i black hacker stavano cercando di scoprire nuove vulnerabilità sconosciute in ME.
Affinché un attacco al firmware sia possibile, gli attori del ransomware devono prima accedere al sistema tramite un percorso comune come il phishing, lo sfruttamento di una vulnerabilità o l’esecuzione di un attacco alla catena di approvvigionamento.
Dopo aver compromesso il ME, gli aggressori dovrebbero seguire un piano di attacco basato su quali regioni della memoria possono accedere, a seconda dell’implementazione della ME e di varie restrizioni/protezioni.
Eclypsium afferma che sarebbe possibile sovrascrivere il descrittore SPI e spostare l’UEFI/BIOS al di fuori dell’area protetta o l’accesso diretto alla regione del BIOS.
C’è anche lo scenario in cui nemmeno l’ME non ha accesso, nel qual caso gli attori delle minacce potrebbero sfruttare il Management Engine di Intel per forzare un avvio da un supporto virtuale e sbloccare le protezioni PCH che sono alla base del controller SPI.
Conti potrebbe utilizzare questo flusso di attacco per bloccare i sistemi in modo permanente, ottenere la massima persistenza, eludere i rilevamenti di antivirus ed EDR e bypassare tutti i controlli di sicurezza a livello di sistema operativo.
Anche se l’operazione Conti sembra essersi chiusa , molti dei suoi membri sono passati ad altre operazioni di ransomware dove continuano a condurre attacchi.
Ciò significa anche che tutto il lavoro svolto per sviluppare di exploit come quello individuato da Eclypsium nelle chat trapelate continuerà ad esistere.
Come spiegano i ricercatori, Conti disponeva di un PoC funzionante per questi attacchi dalla scorsa estate, quindi è probabile che abbiano già avuto la possibilità di utilizzarlo in attacchi reali.
Il RaaS potrebbe tornare in una forma rinominata, i membri principali potrebbero unirsi ad altre operazioni di ransomware e, nel complesso, gli exploit continueranno a essere utilizzati.
Per proteggerti dalle minacce, applica gli aggiornamenti firmware disponibili per il tuo hardware, monitora ME per le modifiche alla configurazione e verifica regolarmente l’integrità della flash SPI.
RedazioneIl CEO di NVIDIA, Jen-Hsun Huang, oggi supervisiona direttamente 36 collaboratori suddivisi in sette aree chiave: strategia, hardware, software, intelligenza artificiale, pubbliche relazioni, networki...
La Duma di Stato della Federazione Russa ha adottato all’unanimità un appello a tutti gli sviluppatori di reti neurali nazionali e stranieri, chiedendo che all’intelligenza artificiale venga impe...
OpenAI ha presentato Aardvark, un assistente autonomo basato sul modello GPT-5 , progettato per individuare e correggere automaticamente le vulnerabilità nel codice software. Questo strumento di inte...
Analisi RHC sulla rete “BHS Links” e sulle infrastrutture globali di Black Hat SEO automatizzato Un’analisi interna di Red Hot Cyber sul proprio dominio ha portato alla luce una rete globale di ...
Abbiamo recentemente pubblicato un approfondimento sul “furto del secolo” al Louvre, nel quale sottolineavamo come la sicurezza fisica – accessi, controllo ambientale, vigilanza – sia oggi str...
