Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

L’underground vende sistemi per disabilitare gli EDR più famosi! LockBit nel mentre sta sfruttando il BYOVD?

Redazione RHC : 24 Gennaio 2024 17:46

E’ stato rilevato nella giornata di oggi, sul forum underground Exploit un post dove un criminale informatico mette in vendita una soluzione per disabilitare EDR best-in-class. Nello specifico il criminale informatico, chiamato LORD1, vende tale soluzione al prezzo di 7000 dollari.

Gli attacchi agli EDR basati su BYOVD

A giugno del 2023, un certo “Spyboy” vendeva una analoga soluzione di bypass di EDR al prezzo di 3000 dollari. L’autore forniva la soluzione per un solo EDR a 300 dollari, anche se non era possibile acquistare una versione per il solo bypass per SentinelOne, Sophos, CrowdStrike, Carbon Black, Cortex, Cylance in quanto occorreva l’acquisto della versione completa.

Spyboy affermava che Terminator era in grado di bypassare 24 diversi antivirus. Inoltre era possibile effettuare il bypass per soluzioni EDR (Endpoint Detection and Response) e XDR (Extended Detection and Response). Era incluso Windows Defender su dispositivi che eseguono Windows 7 e versioni successive.


Sei un Esperto di Formazione?
Entra anche tu nel Partner program! Accedi alla sezione riservata ai Creator sulla nostra Academy e scopri i vantaggi riservati ai membri del Partner program.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]



Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


Lo strumento chiamato Terminator era distribuito sui forum di hacking in lingua russa. Il suo venditore, Spyboy, affermò che Terminator era in grado di bloccare qualsiasi piattaforma antivirus, XDR e EDR. Tuttavia, gli esperti di CrowdStrike analizzarono la soluzione, giungendo alla conclusione che, in effetti, Terminator non era altro che un attacco BYOVD.

In tali attacchi, i driver legittimi vengono firmati con certificati validi e sono in grado di funzionare con i privilegi del kernel. Tali driver vengono rilasciati sui dispositivi delle vittime.

Questo consente di disabilitare le soluzioni di sicurezza e alla fine assumere il controllo del sistema.

Gli attacchi di LockBit e lo sfruttamento del BYOVD

Poco fa è arrivata in redazione una mail proveniente dal ricercatore di sicurezza Lucian Alexandru Necula della ACS Data System S.p.A. Il ricercatore ha fornito una evidenza di un possibile sfruttamento attivo da parte di LockBit di un attacco BYOVD.

Nelle analisi svolte da Alex, viene riportato che LockBit sta utilizzando un driver chiamato “RogueAntirootkit Driver vers. 3.3.0.0“. In particolare sta sfruttando un errore di tipo IOCTL 0x22e044 (Terminate Process) che non ha un controllo di accesso sufficiente.

Correlando le due informazioni, il post su Exploit e la segnalazione del ricercatore di sicurezza su LockBit sembra plausibile un collegamento. Pertanto potrebbe essere che LockBit abbia acquistato tale soluzione che risulta ad oggi sotto sfruttamento attivo.

Driver vulnerabile (fonte Lucian Alexandru Necula della ACS Data System S.p.A)
Ciao ragazzi, in un recente attacco da parte del gruppo di ransomware Lockbit abbiamo trovato un altro driver vulnerabile che può terminare i prodotti EDR. 

Per ora abbiamo individuato solo Lockbit che utilizza questo driver ma sicuramente nelle prossime settimane li utilizzeremo tutti insieme. Abbiamo trovato il driver in sfruttamento attivo e dopo una revisione siamo in grado di riprodurre la vulnerabilità, proviamo a usarlo contro 7 EDR e possiamo facilmente terminare i prodotti 6/7 EDR.

Il driver è un RogueAntirootkit Driver vers. 3.3.0.0 e la vulnerabilità è presente in questo IOCTL 0x22e044 (Terminate Process) che non ha un controllo di accesso sufficiente.

Incollo il link allo screenshot che ho fatto:

Driver vulnerabile: https://postimg.cc/nshHNPDH
IOCTL utilizzato: https://postimg.cc/jDXxgbCg
Driver della firma: https://postimg.cc/kD0gDskc
Driver di firma 2: https://postimg.cc/S2XmxYd3
Termina il processo Windows Defender: https://postimg.cc/gwtYpHV3
Il venditore è stato avvisato ieri.
Ti condivido l'IOC utilizzato negli attacchi di LockBit

Vulnerable Driver :
SHA1:363068731e87bcee19ad5cb802e14f9248465d31
SHA256 : bfc2ef3b404294fe2fa05a8b71c7f786b58519175b7202a69fe30f45e607ff1c
Programma utilizzato per sfruttare il driver di vulnerabilità e terminare EDR:
SHA1: 20600743fbea8a235445b56ea67cd0648ec4f68d
SHA256: 74378330f34ac07ca9f7d452429797c325322e73685ab3f5f5267c39f5a848f1
Disabilitazione di Windows Defender (fonte Lucian Alexandru Necula della ACS Data System S.p.A)

Conclusioni

La recente comparsa di un’offerta per disabilitare EDR di alto livello, divulgata da LORD1 sul forum Exploit, genera significative preoccupazioni per la sicurezza informatica. L’apparizione precedente di un tool simile chiamato Terminator, messo in vendita da Spyboy, aggiunge ulteriori interrogativi sulla persistenza e l’evoluzione di tali minacce.

L’avviso fornito da Lucian Alexandru Necula, ricercatore di sicurezza, sulla possibile correlazione tra la soluzione in vendita su Exploit e l’utilizzo da parte di LockBit costituisce un campanello d’allarme significativo. Tuttavia, per valutare appieno l’entità di questa minaccia, sarà necessario attendere analisi approfondite da parte dei principali fornitori di soluzioni EDR.

Roberto Beneduci CEO di Coretech ha detto recentemente: “sfruttare un Exploit che disabilita l’EDR non dovrebbe preoccupare a meno che non si faccia affidamento esclusivamente su di esso. Se un agent non è piú raggiungibile perchè è stato “neutralizzato”, La sua disconnessione dalla console EDR è già un segnale di allarme. In windows quando un servizio si ferma inaspettatamente viene generato un Id evento ad esempio 7031 . killare un processo di un Edr significa mandare in crash il servizio collegato e di conseguenza generare l’id evento. Il consiglio è di avere anche un RMM in grado di intercettare tali id evento. Nel caso nessun id evento venga generato si può fare in modo che il proprio RMM faccia periodicamente un check dei processi in esecuzione e se non trova quello dell’Edr invia un allarme. La sicurezza è da considerarsi un processo e non l’uso di una tecnologia specifica”.

Solo attraverso un’analisi dettagliata sarà possibile determinare se la soluzione in questione corrisponde effettivamente ad una soluzione simile a Terminator o rappresenta un’altra forma di bypass EDR. In entrambi i casi, la collaborazione e la condivisione delle informazioni all’interno della comunità cybersecurity risultano fondamentali. Questo consente di comprendere e affrontare efficacemente questa nuova ondata di minacce informatiche, garantendo la sicurezza delle reti digitali a livello globale.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

“Byte The Silence”: Il Fumetto Shock Gratuito di RHC sul Cyberbullismo Esce Oggi!

Oggi, 23 giugno 2025, esce “Byte The Silence”, il nuovo fumetto sul cyberbullismo realizzato da Red Hot Cyber, è disponibile da oggi gratuitamente in formato elettronico, sulla nost...

Alla scoperta di Predatory Sparrow. identità, obiettivi e arsenale digitale del misterioso attore minaccia

Il 17 giugno 2025 un attacco informatico ha paralizzato Bank Sepah, una delle principali istituzioni finanziarie dell’Iran.  L’attacco è stato rivendicato dal gruppo Predatory ...

Emergenza Ransomware AKIRA in Italia. Il report di DarkLab su strumenti, impatti e mitigazioni

La primavera 2025 verrà ricordata come un punto di svolta nella cronaca cyber del nostro Paese. Mentre si susseguono bollettini e comunicati tecnici, un dato emerge in modo lampante: AKIRA è...

Attacco informatico alla ASP Palermo. Dopo i disservizi, il comunicato dell’organizzazione

PALERMO, 19 GIUGNO 2025 – Dopo le difficoltà operative registrate negli ultimi giorni, l’Azienda Sanitaria Provinciale di Palermo ha confermato ufficialmente di essere stata colpita...

Crash di massa su Windows: la falla in OpenVPN che può mandare KO le infrastrutture

Una vulnerabilità critica è stata scoperta nel driver di offload del canale dati di OpenVPN per Windows, che può essere sfruttata da attaccanti locali per mandare in crash i sistemi. Il...

Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS
Contatti

Copyright @ REDHOTCYBER Srl
PIVA 17898011006