Red Hot Cyber

La cybersecurity è condivisione.
Riconosci il rischio, combattilo, condividi le tue esperienze ed 
incentiva gli altri a fare meglio di te.

Cerca

HackerHood, il gruppo di hacker etici di RHC, analizza il ransomware c3ytok e avvia il programma “Nopay Ransomware”

Redazione RHC : 29 Agosto 2022 08:14

Il team di hacker etici di HackerHood, della community di Red Hot Cyber, è stato chiamato a dare una mano ad una nota azienda italiana colpita dal ransomware c3ytok che ha cifrato le infrastrutture della sua rete informatica.

E’ stata quindi prodotta una malware analysis che vogliamo mettere a disposizione di altri analisti in modo da condividere gli step di lavoro e quello che è stato rilevato dall’analisi statica.

Il malware che ha colpito l’infrastruttura si presenta sotto il nome di .c3ytok ed è stato in grado di crittografare file, scriversi nelle cartelle di esecuzione automatica e scaricare tool esterni per attuare tecniche di privilege escalation.

Supporta Red Hot Cyber attraverso

Al suo avvio, dopo aver elevato i primi privilegi di administrator, cancella i backup e le copie Shadow, disabilita il task manager, il firewall e il monitoraggio di Windows Defender. Successivamente cifra tutti i file nelle cartelle delle unità, tranne la “G”, notoriamente attribuita ai CD-ROM, nei quali i file sono in sola lettura. Inoltre attraverso l’enumerazione delle rete locale tende a svolgere le dovute propagazioni tramite protocolli LDAP e SMB.

Il malware presenta un codice molto elusivo e disarticolato con stringhe in base64, alcune delle quali vengono invertite per evadere ulteriormente la rilevazione degli AV.

Prevede inoltre la creazione del documento minatorio di recupero dei file cifrati, con le indicazioni per il pagamento del riscatto (mostrato di seguito):

Richiesta di riscatto. Samples concesso dall’azienda con la quale abbiamo collab

Il team di hackerhood con la presente analisi vorrebbe avviare un percorso per instaurare soprattutto in Italia uno standard condiviso che ad oggi molte imprese non mettono in pratica, ovvero il rifiuto del pagamento del riscatto.

Il programma Nopay Ransomware! di Hackerhood incentiva la malware analysis e le relative operazioni di reverse engineering e decifratura e disincentiva il pagamento dei riscatti.

Spesso queste stesse società colpite da Malware per riattivare in tempi rapidi le proprie attività, cedono al pagamento, nonostante non abbiano ben chiaro quali siano i rischi ai quali andrebbero incontro pagando le somme richieste dall’organizzazione criminale.

Succede spesso che il pagamento si trasforma in un indice favorevole per il targeting, il che le rende deboli nei confronti dei successivi incidenti ransomware. 

L’analisi tecnica è disponibile sul sito di HackerHood ed è stata svolta da Fabio Defilippo, e la potete visionare a questo link:
https://hackerhood.redhotcyber.com/tutorial-di-malware-analysis/

Analisi del Ransomware Cy3toc

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.
Categorie
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

Redazione: [email protected]
© Copyright RED HOT CYBER. PIVA 16821691009