Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Redazione RHC : 29 Agosto 2022 08:14
Il team di hacker etici di HackerHood, della community di Red Hot Cyber, è stato chiamato a dare una mano ad una nota azienda italiana colpita dal ransomware c3ytok che ha cifrato le infrastrutture della sua rete informatica.
E’ stata quindi prodotta una malware analysis che vogliamo mettere a disposizione di altri analisti in modo da condividere gli step di lavoro e quello che è stato rilevato dall’analisi statica.
Il malware che ha colpito l’infrastruttura si presenta sotto il nome di .c3ytok ed è stato in grado di crittografare file, scriversi nelle cartelle di esecuzione automatica e scaricare tool esterni per attuare tecniche di privilege escalation.
Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class", previsto per febbraio.
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato.
Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Al suo avvio, dopo aver elevato i primi privilegi di administrator, cancella i backup e le copie Shadow, disabilita il task manager, il firewall e il monitoraggio di Windows Defender. Successivamente cifra tutti i file nelle cartelle delle unità, tranne la “G”, notoriamente attribuita ai CD-ROM, nei quali i file sono in sola lettura. Inoltre attraverso l’enumerazione delle rete locale tende a svolgere le dovute propagazioni tramite protocolli LDAP e SMB.
Il malware presenta un codice molto elusivo e disarticolato con stringhe in base64, alcune delle quali vengono invertite per evadere ulteriormente la rilevazione degli AV.
Prevede inoltre la creazione del documento minatorio di recupero dei file cifrati, con le indicazioni per il pagamento del riscatto (mostrato di seguito):
Il team di hackerhood con la presente analisi vorrebbe avviare un percorso per instaurare soprattutto in Italia uno standard condiviso che ad oggi molte imprese non mettono in pratica, ovvero il rifiuto del pagamento del riscatto.
Il programma Nopay Ransomware! di Hackerhood incentiva la malware analysis e le relative operazioni di reverse engineering e decifratura e disincentiva il pagamento dei riscatti.
Spesso queste stesse società colpite da Malware per riattivare in tempi rapidi le proprie attività, cedono al pagamento, nonostante non abbiano ben chiaro quali siano i rischi ai quali andrebbero incontro pagando le somme richieste dall’organizzazione criminale.
Succede spesso che il pagamento si trasforma in un indice favorevole per il targeting, il che le rende deboli nei confronti dei successivi incidenti ransomware.
L’analisi tecnica è disponibile sul sito di HackerHood ed è stata svolta da Fabio Defilippo, e la potete visionare a questo link:
https://hackerhood.redhotcyber.com/tutorial-di-malware-analysis/
RedazioneSecondo una analisi degli specialisti del Positive Technologies Expert Security Center, è stata rilevata una nuova vulnerabilità in Google Chrome monitorata con l’identificatore CVE-2...
Come abbiamo visto, è guerra informatica tra Israele ed Iran. Dopo gli attacchi di Predatory Sparrow alla Bank Sepah, ora un gruppo che si fa chiamare APTiran, colpisce le infrastrutture di Israe...
Autori: Simone D’Agostino e Antonio Piovesan Abbiamo spesso parlato di casi di vettori di attacco come e-mail/sms di phishing, siti abbeveratoio (watering hole) o altro riconducibile in general...
Un nuovo caso di Initial Access italiano è emerso nelle ultime ore sul dark web, confermando la continua pressione cybercriminale sul tessuto industriale del Paese. Il venditore, identi...
Roma 16/06/2025 – Red Hot Cyber annuncia con orgoglio l’uscita del quarto episodio del fumetto BETTI-RHC, dal titolo “Byte the Silence”, un’opera che ha un obiettivo...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
