Redazione RHC : 10 Giugno 2025 15:20
Nella primavera del 2024, uno strumento poco conosciuto chiamato Skitnet , noto anche come “Bossnet“, è apparso sui forum di hacker underground. Nel giro di pochi mesi, è diventato un successo nell’arsenale dei gruppi ransomware, sostituendo strumenti familiari che erano stati colpiti da operazioni internazionali come Operation Endgame.
Quest’ultima, aveva causato gravi danni alle reti QakBot e IcedID nel maggio 2024 , lasciando i criminali informatici senza i loro consueti canali di distribuzione del malware.
Skitnet, uno strumento dannoso multi-fase sviluppato da un aggressore con lo pseudonimo LARVA306, si è rapidamente imposto nella nicchia emergente. Ha iniziato a essere utilizzato attivamente da gruppi noti come Black Basta e Cactus.
Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class", previsto per febbraio.
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato.
Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Secondo gli analisti di WardenShield, il loro interesse è dovuto non solo alle capacità tecnologiche, ma anche alla disponibilità della soluzione. Skitnet è economico, modulare e riesce a eludere abilmente il rilevamento, il che lo rende particolarmente interessante nel contesto della crescente concorrenza nel settore del Ransomware-as-a-Service.
Skitnet è diventato particolarmente utile nelle campagne incentrate sulla doppia estorsione. I gruppi prima rubano dati sensibili, poi crittografano l’infrastruttura della vittima, aumentando la pressione con la promessa di divulgazione pubblica. Questa tattica è utilizzata da tempo, ma Skitnet la rende ancora più complessa grazie a un post-exploit persistente e furtivo.
Una delle caratteristiche principali del malware è la sua architettura complessa. È basato su una combinazione dei linguaggi Rust e Nim , il che ne complica l’analisi e il rilevamento.
L’infezione inizia con un loader Rust, che inietta nella RAM un binario Nim crittografato con l’algoritmo ChaCha20. Per il caricamento viene utilizzata la libreria DInvoke-rs, che consente l’esecuzione del codice direttamente dalla memoria, senza scrittura su disco. Questo ha di fatto aggirato la protezione delle firme degli antivirus .
La comunicazione con il server di controllo avviene tramite un canale non standard: una DNS reverse shell. Il meccanismo utilizza query DNS casuali mascherate da normale traffico di rete. Tre thread paralleli nel binario Nim forniscono segnali a impulsi, la ricezione dei comandi e la trasmissione dell’output all’operatore, bypassando completamente i normali sistemi di filtraggio di rete.
È importante anche il modo in cui Skitnet si insinua nel sistema. Quando viene attivato il comando di avvio, sul computer infetto appare una nuova directory “C:\ProgramData\huo”, dove il malware scarica tre componenti contemporaneamente. Uno di questi è un file eseguibile legittimo di ASUS chiamato “ISP.exe”. È firmato digitalmente, il che contribuisce a evitare sospetti. Insieme a esso, vengono scaricati la libreria dannosa “SnxHidLib.DLL” e lo script “pas.ps1” su PowerShell, che garantisce la comunicazione con il server degli aggressori.
Skitnet crea quindi un collegamento a “ISP.exe” nella cartella di avvio di Windows. Al riavvio del sistema, avvia il file eseguibile firmato, che a sua volta carica una libreria fittizia. La DLL avvia l’avvio di uno script di PowerShell, ristabilendo la comunicazione con il centro di comando e garantendo la presenza a lungo termine nel sistema.
Di particolare interesse è la scelta dell’infrastruttura di distribuzione: Skitnet è venduto sul popolare marketplace di servizi per la criminalità informatica RAMP . Questo evidenzia la crescente industrializzazione del segmento ombra, dove anche i partecipanti inesperti possono accedere a strumenti sofisticati a un costo relativamente contenuto.
Skitnet non è quindi solo un nuovo malware, ma il sintomo di una tendenza più ampia: la sua ampia diffusione, l’elevata tecnologia e l’enfasi sulla fase di post-sfruttamento lo rendono una minaccia che potrebbe rimanere a lungo negli arsenali dei ransomware.
Il gruppo di hacker LunaLock ha aggiunto un nuovo elemento al classico schema di estorsione, facendo leva sui timori di artisti e clienti. Il 30 agosto, sul sito web Artists&Clients, che mette in ...
LockBit rappresenta una delle più longeve e strutturate ransomware gang degli ultimi anni, con un modello Ransomware-as-a-Service (RaaS)che ha segnato in maniera profonda l’ecosistema criminale. A ...
Il record per il più grande attacco DDoS mai registrato nel giugno 2025 è già stato battuto. Cloudflare ha dichiarato di aver recentemente bloccato il più grande attacco DDoS della storia, che ha ...
Un’intrusione di dati è stata rilevata da Cloudflare, dove un aggressore esperto ha potuto accedere e quindi rubare i dati sensibili dei propri clienti da quella che era l’istanza Salesforce mess...
All’inizio di settembre 2025,Palo Alto Networks ha confermato di essere stata vittima di una violazione dei dati. La compromissione non ha interessato i suoi prodotti o servizi core, bensì alcune i...