I ricercatori di sicurezza hanno scoperto una nuova variante del ransomware chiamata StopCrypt, noto anche come STOP. Questa versione utilizza un processo di esecuzione shellcode per aggirare gli strumenti di sicurezza, rendendo il malware particolarmente pericoloso perché difficile da rilevare.
StopCrypt è il ransomware più utilizzato, ma nonostante ciò viene raramente menzionato dai ricercatori di sicurezza. A differenza di altre operazioni ben note come LockBit, BlackCat e Clop, STOP non prende di mira le aziende ma gli utenti comuni, con l’obiettivo di ottenere piccoli riscatti che vanno dai 400 ai 1.000 dollari.
La diffusione di questo virus avviene solitamente attraverso pubblicità dannosa e siti dubbi che offrono download di software gratuito, trucchi per giochi e “crack”, che portano all’infezione dei sistemi degli utenti con vari tipi di malware, inclusi trojan, ladri di informazioni e lo stesso StopCrypt .
Advertising
Dalla prima comparsa di STOP nel 2018, il ransomware non ha subito cambiamenti significativi, ad eccezione del rilascio di nuove versioni per correggere errori critici. Pertanto, ogni nuova opzione STOP attira l’attenzione a causa del gran numero di persone che potrebbero esserne colpite.
Il team di ricerca sulle minacce di SonicWall ha identificato una nuova variante STOP che ora utilizza un meccanismo di esecuzione in più fasi. Implica il caricamento di un file DLL non correlata (msim32.dll), probabilmente come distrazione, e l’implementazione di cicli di ritardo lunghi per aiutare a bypassare le misure di sicurezza legate al tempo.
Successivamente arriva una fase che utilizza il metodo “Process Hollowing” , in cui StopCrypt dirotta processi legittimi e inietta il suo carico utile per l’esecuzione nascosta in memoria. Ciò si ottiene attraverso una serie di chiamate API orchestrate con precisione che manipolano la memoria del processo e il thread di controllo.
Una volta eseguito il payload finale, vengono adottate una serie di misure per garantire che il ransomware persista, inclusa la modifica degli elenchi di controllo degli accessi (ACL) per impedire agli utenti di eliminare file e directory malware critici e la creazione di un’attività pianificata per eseguire il payload ogni cinque minuti .
Di conseguenza, i file vengono crittografati e ai loro nuovi nomi viene aggiunta l’estensione “.msjd” e in ciascuna cartella interessata viene creata una nota di testo con le istruzioni su come pagare un riscatto per il recupero dei dati.
Advertising
Richiesta di riscatto che “calma” la vittima
L’evoluzione di StopCrypt in una minaccia più furtiva e potente evidenzia una tendenza preoccupante nel crimine informatico. Sebbene i requisiti finanziari di StopCrypt non siano elevati e i suoi operatori non rubino o pubblichino dati, il danno che questo ransomware può causare alla gente comune può essere piuttosto significativo.
Per evitare di cadere vittima del ransomware StopCrypt o di malware simili, è importante prestare attenzione quando si scaricano programmi da fonti non attendibili, aggiornare regolarmente il software e il software antivirus, eseguire il backup dei dati e aumentare la consapevolezza delle minacce informatiche.
Seguire le misure di sicurezza informatica di base aiuterà a prevenire le infezioni e a ridurre al minimo i danni derivanti da questa e altre minacce ransomware.
📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su Google Discover (scorri in basso e clicca segui) e su 🔔 Google News. Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram. Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici
Membro e Riferimento del gruppo di Red Hot Cyber Dark Lab, è un ingegnere Informatico specializzato in Cyber Security con una profonda passione per l’Hacking e la tecnologia, attualmente CISO di WURTH Italia, è stato responsabile dei servizi di Cyber Threat Intelligence & Dark Web analysis in IBM, svolge attività di ricerca e docenza su tematiche di Cyber Threat Intelligence presso l’Università del Sannio, come Ph.D, autore di paper scientifici e sviluppo di strumenti a supporto delle attività di cybersecurity. Dirige il Team di CTI "RHC DarkLab"
Aree di competenza:Cyber Threat Intelligence, Ransomware, Sicurezza nazionale, Formazione
Betti RHC, la prima graphic novel al mondo dedicata alla cybersecurity awareness, ha finalmente il suo sito ufficiale. Uno spazio tutto suo dove scoprire il progetto, sfogliare le copertine degli episodi e immergersi nel mondo di Betti: la giovane laureanda in informatica che, dopo la morte misteriosa del padre, si trasforma nell'hacker più potente del mondo. Una storia avvincente che, episodio dopo episodio, affronta una minaccia digitale diversa — dal phishing al ransomware, fino al cyberbullismo — e insegna a riconoscerla e a difendersi, senza che sembri mai una lezione.
Sul sito trovate tutto ciò che rende Betti un progetto diverso dal solito: la sua filosofia, le anteprime delle tavole e il racconto di come nasce ogni volume. Perché dietro Betti RHC c'è solo lavoro umano: ogni tavola è disegnata interamente a mano dagli artisti del Gruppo Arte di Red Hot Cyber, senza alcun uso di intelligenza artificiale. E a garantire che ogni storia sia realistica e tecnicamente corretta c'è la supervisione degli hacker etici del gruppo HackerHood, che mantengono il racconto fedele al mondo reale della sicurezza informatica.
C'è spazio anche per le aziende, che possono usare Betti come strumento di awareness diverso dai soliti corsi: acquistare i volumi, personalizzarli con il proprio brand o sponsorizzare nuovi episodi. E come primo regalo, l'episodio "Byte the Silence", dedicato al cyberbullismo, è scaricabile gratuitamente per uso personale.