HackerHood, il gruppo di hacker etici di RHC, analizza il ransomware c3ytok e avvia il programma “Nopay Ransomware”

Il team di hacker etici di HackerHood, della community di Red Hot Cyber, è stato chiamato a dare una mano ad una nota azienda italiana colpita dal ransomware c3ytok che ha cifrato le infrastrutture della sua rete informatica.

E’ stata quindi prodotta una malware analysis che vogliamo mettere a disposizione di altri analisti in modo da condividere gli step di lavoro e quello che è stato rilevato dall’analisi statica.

Il malware che ha colpito l’infrastruttura si presenta sotto il nome di .c3ytok ed è stato in grado di crittografare file, scriversi nelle cartelle di esecuzione automatica e scaricare tool esterni per attuare tecniche di privilege escalation.

Al suo avvio, dopo aver elevato i primi privilegi di administrator, cancella i backup e le copie Shadow, disabilita il task manager, il firewall e il monitoraggio di Windows Defender. Successivamente cifra tutti i file nelle cartelle delle unità, tranne la “G”, notoriamente attribuita ai CD-ROM, nei quali i file sono in sola lettura. Inoltre attraverso l’enumerazione delle rete locale tende a svolgere le dovute propagazioni tramite protocolli LDAP e SMB.

Il malware presenta un codice molto elusivo e disarticolato con stringhe in base64, alcune delle quali vengono invertite per evadere ulteriormente la rilevazione degli AV.

Prevede inoltre la creazione del documento minatorio di recupero dei file cifrati, con le indicazioni per il pagamento del riscatto (mostrato di seguito):

Il team di hackerhood con la presente analisi vorrebbe avviare un percorso per instaurare soprattutto in Italia uno standard condiviso che ad oggi molte imprese non mettono in pratica, ovvero il rifiuto del pagamento del riscatto.

Il programma Nopay Ransomware! di Hackerhood incentiva la malware analysis e le relative operazioni di reverse engineering e decifratura e disincentiva il pagamento dei riscatti.

Spesso queste stesse società colpite da Malware per riattivare in tempi rapidi le proprie attività, cedono al pagamento, nonostante non abbiano ben chiaro quali siano i rischi ai quali andrebbero incontro pagando le somme richieste dall’organizzazione criminale.

Succede spesso che il pagamento si trasforma in un indice favorevole per il targeting, il che le rende deboli nei confronti dei successivi incidenti ransomware. 

L’analisi tecnica è disponibile sul sito di HackerHood ed è stata svolta da Fabio Defilippo, e la potete visionare a questo link:
https://hackerhood.redhotcyber.com/tutorial-di-malware-analysis/

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.