Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 31 Marzo 2024 09:26
I ricercatori di sicurezza hanno scoperto una nuova variante del ransomware chiamata StopCrypt, noto anche come STOP. Questa versione utilizza un processo di esecuzione shellcode per aggirare gli strumenti di sicurezza, rendendo il malware particolarmente pericoloso perché difficile da rilevare.
StopCrypt è il ransomware più utilizzato, ma nonostante ciò viene raramente menzionato dai ricercatori di sicurezza. A differenza di altre operazioni ben note come LockBit, BlackCat e Clop, STOP non prende di mira le aziende ma gli utenti comuni, con l’obiettivo di ottenere piccoli riscatti che vanno dai 400 ai 1.000 dollari.
La diffusione di questo virus avviene solitamente attraverso pubblicità dannosa e siti dubbi che offrono download di software gratuito, trucchi per giochi e “crack”, che portano all’infezione dei sistemi degli utenti con vari tipi di malware, inclusi trojan, ladri di informazioni e lo stesso StopCrypt .
 Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀
Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮.
Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Dalla prima comparsa di STOP nel 2018, il ransomware non ha subito cambiamenti significativi, ad eccezione del rilascio di nuove versioni per correggere errori critici. Pertanto, ogni nuova opzione STOP attira l’attenzione a causa del gran numero di persone che potrebbero esserne colpite.
Il team di ricerca sulle minacce di SonicWall ha identificato una nuova variante STOP che ora utilizza un meccanismo di esecuzione in più fasi. Implica il caricamento di un file DLL non correlata (msim32.dll), probabilmente come distrazione, e l’implementazione di cicli di ritardo lunghi per aiutare a bypassare le misure di sicurezza legate al tempo.
Successivamente arriva una fase che utilizza il metodo “Process Hollowing” , in cui StopCrypt dirotta processi legittimi e inietta il suo carico utile per l’esecuzione nascosta in memoria. Ciò si ottiene attraverso una serie di chiamate API orchestrate con precisione che manipolano la memoria del processo e il thread di controllo.
Una volta eseguito il payload finale, vengono adottate una serie di misure per garantire che il ransomware persista, inclusa la modifica degli elenchi di controllo degli accessi (ACL) per impedire agli utenti di eliminare file e directory malware critici e la creazione di un’attività pianificata per eseguire il payload ogni cinque minuti .
Di conseguenza, i file vengono crittografati e ai loro nuovi nomi viene aggiunta l’estensione “.msjd” e in ciascuna cartella interessata viene creata una nota di testo con le istruzioni su come pagare un riscatto per il recupero dei dati.
L’evoluzione di StopCrypt in una minaccia più furtiva e potente evidenzia una tendenza preoccupante nel crimine informatico. Sebbene i requisiti finanziari di StopCrypt non siano elevati e i suoi operatori non rubino o pubblichino dati, il danno che questo ransomware può causare alla gente comune può essere piuttosto significativo.
Per evitare di cadere vittima del ransomware StopCrypt o di malware simili, è importante prestare attenzione quando si scaricano programmi da fonti non attendibili, aggiornare regolarmente il software e il software antivirus, eseguire il backup dei dati e aumentare la consapevolezza delle minacce informatiche.
Seguire le misure di sicurezza informatica di base aiuterà a prevenire le infezioni e a ridurre al minimo i danni derivanti da questa e altre minacce ransomware.
RedazioneIl mondo della tecnologia quantistica ha compiuto un balzo in avanti impressionante: QuantWare ha presentato il primo processore al mondo da 10.000 qubit, 100 volte più di qualsiasi dispositivo esist...
Un aggiornamento urgente è stato pubblicato da Ivanti per la sua piattaforma Endpoint Manager (EPM), al fine di risolvere un insieme di vulnerabilità significative che potrebbero permettere agli agg...
A seguito della scoperta di exploit attivi, la Cybersecurity and Infrastructure Security Agency (CISA) ha inserito due vulnerabilità critiche al catalogo Known Exploited Vulnerabilities (KEV) dell’...
Una vulnerabilità zero-day nel driver Windows Cloud Files Mini Filter (cldflt.sys) è attualmente oggetto di sfruttamento attivo. Microsoft ha provveduto al rilascio di aggiornamenti di sicurezza urg...
Una vulnerabilità critica, monitorata con il codice CVE-2025-59719, riguarda le linee di prodotti FortiOS, FortiWeb, FortiProxy e FortiSwitchManager è stata segnalata da Fortinet tramite un avviso d...
