Redazione RHC : 10 Giugno 2025 15:20
Nella primavera del 2024, uno strumento poco conosciuto chiamato Skitnet , noto anche come “Bossnet“, è apparso sui forum di hacker underground. Nel giro di pochi mesi, è diventato un successo nell’arsenale dei gruppi ransomware, sostituendo strumenti familiari che erano stati colpiti da operazioni internazionali come Operation Endgame.
Quest’ultima, aveva causato gravi danni alle reti QakBot e IcedID nel maggio 2024 , lasciando i criminali informatici senza i loro consueti canali di distribuzione del malware.
Skitnet, uno strumento dannoso multi-fase sviluppato da un aggressore con lo pseudonimo LARVA306, si è rapidamente imposto nella nicchia emergente. Ha iniziato a essere utilizzato attivamente da gruppi noti come Black Basta e Cactus.
CALL FOR SPONSOR - Sponsorizza l'ottavo episodio della serie Betti-RHC
Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"?
Conosci il nostro corso sul cybersecurity awareness a fumetti?
Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati.
Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Secondo gli analisti di WardenShield, il loro interesse è dovuto non solo alle capacità tecnologiche, ma anche alla disponibilità della soluzione. Skitnet è economico, modulare e riesce a eludere abilmente il rilevamento, il che lo rende particolarmente interessante nel contesto della crescente concorrenza nel settore del Ransomware-as-a-Service.
Skitnet è diventato particolarmente utile nelle campagne incentrate sulla doppia estorsione. I gruppi prima rubano dati sensibili, poi crittografano l’infrastruttura della vittima, aumentando la pressione con la promessa di divulgazione pubblica. Questa tattica è utilizzata da tempo, ma Skitnet la rende ancora più complessa grazie a un post-exploit persistente e furtivo.
Una delle caratteristiche principali del malware è la sua architettura complessa. È basato su una combinazione dei linguaggi Rust e Nim , il che ne complica l’analisi e il rilevamento.
L’infezione inizia con un loader Rust, che inietta nella RAM un binario Nim crittografato con l’algoritmo ChaCha20. Per il caricamento viene utilizzata la libreria DInvoke-rs, che consente l’esecuzione del codice direttamente dalla memoria, senza scrittura su disco. Questo ha di fatto aggirato la protezione delle firme degli antivirus .
La comunicazione con il server di controllo avviene tramite un canale non standard: una DNS reverse shell. Il meccanismo utilizza query DNS casuali mascherate da normale traffico di rete. Tre thread paralleli nel binario Nim forniscono segnali a impulsi, la ricezione dei comandi e la trasmissione dell’output all’operatore, bypassando completamente i normali sistemi di filtraggio di rete.
È importante anche il modo in cui Skitnet si insinua nel sistema. Quando viene attivato il comando di avvio, sul computer infetto appare una nuova directory “C:\ProgramData\huo”, dove il malware scarica tre componenti contemporaneamente. Uno di questi è un file eseguibile legittimo di ASUS chiamato “ISP.exe”. È firmato digitalmente, il che contribuisce a evitare sospetti. Insieme a esso, vengono scaricati la libreria dannosa “SnxHidLib.DLL” e lo script “pas.ps1” su PowerShell, che garantisce la comunicazione con il server degli aggressori.
Skitnet crea quindi un collegamento a “ISP.exe” nella cartella di avvio di Windows. Al riavvio del sistema, avvia il file eseguibile firmato, che a sua volta carica una libreria fittizia. La DLL avvia l’avvio di uno script di PowerShell, ristabilendo la comunicazione con il centro di comando e garantendo la presenza a lungo termine nel sistema.
Di particolare interesse è la scelta dell’infrastruttura di distribuzione: Skitnet è venduto sul popolare marketplace di servizi per la criminalità informatica RAMP . Questo evidenzia la crescente industrializzazione del segmento ombra, dove anche i partecipanti inesperti possono accedere a strumenti sofisticati a un costo relativamente contenuto.
Skitnet non è quindi solo un nuovo malware, ma il sintomo di una tendenza più ampia: la sua ampia diffusione, l’elevata tecnologia e l’enfasi sulla fase di post-sfruttamento lo rendono una minaccia che potrebbe rimanere a lungo negli arsenali dei ransomware.
RedazioneNel febbraio 2025 avevamo già osservato il funzionamento di DDoSIA, il sistema di crowd-hacking promosso da NoName057(16): un client distribuito via Telegram, attacchi DDoS contro obiettivi europ...
Le vulnerabilità critiche recentemente scoperte nell’infrastruttura Cisco sono già state sfruttate attivamente dagli aggressori per attaccare le reti aziendali. L’azienda ha co...
La Red Hot Cyber Conference ritorna! Dopo il grande successo della terza e quarta edizione, torna l’appuntamento annuale gratuito ideato dalla community di RHC! Un evento pensato per ...
Con la rapida crescita delle minacce digitali, le aziende di tutto il mondo sono sotto attacco informatico. Secondo gli ultimi dati di Check Point Research, ogni organizzazione subisce in media 1,984 ...
