Red Hot Cyber

Sicurezza informatica, cybercrime, hack
news, e altro ancora
  • English

HackerHood, il gruppo di hacker etici di RHC, analizza il ransomware c3ytok e avvia il programma “Nopay Ransomware”

Il team di hacker etici di HackerHood, della community di Red Hot Cyber, è stato chiamato a dare una mano ad una nota azienda italiana colpita dal ransomware c3ytok che ha cifrato le infrastrutture della sua rete informatica.

E’ stata quindi prodotta una malware analysis che vogliamo mettere a disposizione di altri analisti in modo da condividere gli step di lavoro e quello che è stato rilevato dall’analisi statica.

Il malware che ha colpito l’infrastruttura si presenta sotto il nome di .c3ytok ed è stato in grado di crittografare file, scriversi nelle cartelle di esecuzione automatica e scaricare tool esterni per attuare tecniche di privilege escalation.

Al suo avvio, dopo aver elevato i primi privilegi di administrator, cancella i backup e le copie Shadow, disabilita il task manager, il firewall e il monitoraggio di Windows Defender. Successivamente cifra tutti i file nelle cartelle delle unità, tranne la “G”, notoriamente attribuita ai CD-ROM, nei quali i file sono in sola lettura. Inoltre attraverso l’enumerazione delle rete locale tende a svolgere le dovute propagazioni tramite protocolli LDAP e SMB.

Advertisements

Il malware presenta un codice molto elusivo e disarticolato con stringhe in base64, alcune delle quali vengono invertite per evadere ulteriormente la rilevazione degli AV.

Prevede inoltre la creazione del documento minatorio di recupero dei file cifrati, con le indicazioni per il pagamento del riscatto (mostrato di seguito):

Richiesta di riscatto. Samples concesso dall’azienda con la quale abbiamo collab

Il team di hackerhood con la presente analisi vorrebbe avviare un percorso per instaurare soprattutto in Italia uno standard condiviso che ad oggi molte imprese non mettono in pratica, ovvero il rifiuto del pagamento del riscatto.

Il programma Nopay Ransomware! di Hackerhood incentiva la malware analysis e le relative operazioni di reverse engineering e decifratura e disincentiva il pagamento dei riscatti.

Advertisements

Spesso queste stesse società colpite da Malware per riattivare in tempi rapidi le proprie attività, cedono al pagamento, nonostante non abbiano ben chiaro quali siano i rischi ai quali andrebbero incontro pagando le somme richieste dall’organizzazione criminale.

Succede spesso che il pagamento si trasforma in un indice favorevole per il targeting, il che le rende deboli nei confronti dei successivi incidenti ransomware. 

L’analisi tecnica è disponibile sul sito di HackerHood ed è stata svolta da Fabio Defilippo, e la potete visionare a questo link:
https://hackerhood.redhotcyber.com/tutorial-di-malware-analysis/