Nella primavera del 2024, uno strumento poco conosciuto chiamato Skitnet , noto anche come “Bossnet“, è apparso sui forum di hacker underground. Nel giro di pochi mesi, è diventato un successo nell’arsenale dei gruppi ransomware, sostituendo strumenti familiari che erano stati colpiti da operazioni internazionali come Operation Endgame.
Quest’ultima, aveva causato gravi danni alle reti QakBot e IcedID nel maggio 2024 , lasciando i criminali informatici senza i loro consueti canali di distribuzione del malware.
Skitnet, uno strumento dannoso multi-fase sviluppato da un aggressore con lo pseudonimo LARVA306, si è rapidamente imposto nella nicchia emergente. Ha iniziato a essere utilizzato attivamente da gruppi noti come Black Basta e Cactus.
 Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected].
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Secondo gli analisti di WardenShield, il loro interesse è dovuto non solo alle capacità tecnologiche, ma anche alla disponibilità della soluzione. Skitnet è economico, modulare e riesce a eludere abilmente il rilevamento, il che lo rende particolarmente interessante nel contesto della crescente concorrenza nel settore del Ransomware-as-a-Service.
Skitnet è diventato particolarmente utile nelle campagne incentrate sulla doppia estorsione. I gruppi prima rubano dati sensibili, poi crittografano l’infrastruttura della vittima, aumentando la pressione con la promessa di divulgazione pubblica. Questa tattica è utilizzata da tempo, ma Skitnet la rende ancora più complessa grazie a un post-exploit persistente e furtivo.
Una delle caratteristiche principali del malware è la sua architettura complessa. È basato su una combinazione dei linguaggi Rust e Nim , il che ne complica l’analisi e il rilevamento.
L’infezione inizia con un loader Rust, che inietta nella RAM un binario Nim crittografato con l’algoritmo ChaCha20. Per il caricamento viene utilizzata la libreria DInvoke-rs, che consente l’esecuzione del codice direttamente dalla memoria, senza scrittura su disco. Questo ha di fatto aggirato la protezione delle firme degli antivirus .
La comunicazione con il server di controllo avviene tramite un canale non standard: una DNS reverse shell. Il meccanismo utilizza query DNS casuali mascherate da normale traffico di rete. Tre thread paralleli nel binario Nim forniscono segnali a impulsi, la ricezione dei comandi e la trasmissione dell’output all’operatore, bypassando completamente i normali sistemi di filtraggio di rete.
È importante anche il modo in cui Skitnet si insinua nel sistema. Quando viene attivato il comando di avvio, sul computer infetto appare una nuova directory “C:\ProgramData\huo”, dove il malware scarica tre componenti contemporaneamente. Uno di questi è un file eseguibile legittimo di ASUS chiamato “ISP.exe”. È firmato digitalmente, il che contribuisce a evitare sospetti. Insieme a esso, vengono scaricati la libreria dannosa “SnxHidLib.DLL” e lo script “pas.ps1” su PowerShell, che garantisce la comunicazione con il server degli aggressori.
Skitnet crea quindi un collegamento a “ISP.exe” nella cartella di avvio di Windows. Al riavvio del sistema, avvia il file eseguibile firmato, che a sua volta carica una libreria fittizia. La DLL avvia l’avvio di uno script di PowerShell, ristabilendo la comunicazione con il centro di comando e garantendo la presenza a lungo termine nel sistema.
Di particolare interesse è la scelta dell’infrastruttura di distribuzione: Skitnet è venduto sul popolare marketplace di servizi per la criminalità informatica RAMP . Questo evidenzia la crescente industrializzazione del segmento ombra, dove anche i partecipanti inesperti possono accedere a strumenti sofisticati a un costo relativamente contenuto.
Skitnet non è quindi solo un nuovo malware, ma il sintomo di una tendenza più ampia: la sua ampia diffusione, l’elevata tecnologia e l’enfasi sulla fase di post-sfruttamento lo rendono una minaccia che potrebbe rimanere a lungo negli arsenali dei ransomware.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Innovazione
Innovazione
Cyber Italia
Innovazione
Vulnerabilità