Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

L’analisi di RansomExx, il ransomware che ha colpito la Regione Lazio.

Redazione RHC : 4 Agosto 2021 10:04

Autore: Emanuele De Lucia

Data Pubblicazione: 4/08/2021

Iscriviti GRATIS alla RHC Conference 2025 (Venerdì 9 maggio 2025)

Il giorno Venerdì 9 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la RHC Conference 2025. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.

La giornata inizierà alle 9:30 (con accoglienza dalle 9:00) e sarà interamente dedicata alla RHC Conference, un evento di spicco nel campo della sicurezza informatica. Il programma prevede un panel con ospiti istituzionali che si terrà all’inizio della conferenza. Successivamente, numerosi interventi di esperti nazionali nel campo della sicurezza informatica si susseguiranno sul palco fino alle ore 19:00 circa, quando termineranno le sessioni. Prima del termine della conferenza, ci sarà la premiazione dei vincitori della Capture The Flag prevista per le ore 18:00.
Potete iscrivervi gratuitamente all'evento utilizzando questo link.

Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

RansomExx (aka Defray777, 777 o Ransom X) è una variante ransomware multi-piattaforma operata a basso volume come parte di attacchi informatici in più fasi che prendono di mira organizzazioni, enti governativi ed aziende attive in vari settori.

E’ stata protagonista di diversi attacchi di alto profilo nel 2020 e 2021 e la crew che lo mantiene, chiamata Sprite Spider, appare piuttosto attiva nella sua manutenzione e nel suo sviluppo.

Alcuni dei loro attacchi hanno visto fra le vittime realtà come Konica Minolta, Tyler Technologies, Montreal Transit System, Texas Department of Transportation, Brazilian Judiciary, Consiglio Nazionale del Notariato, WT Microelectronics, Corporación Nacional de Telecomunicación e recentissimamente, in accordo con quanto riportato da Bleeping Computer, la Regione Lazio (https://www.bleepingcomputer.com/news/security/ransomware-attack-hits-italys-lazio-region-affects-covid-19-site/)

Sprite Spider è un gruppo di cyber-criminali motivato finanziariamente e specializzato in attacchi post-intrusione finalizzati alla diffusione di ransomware. Il gruppo è correlato principalmente alla già citata famiglia malware nota con il nome di RansomEXX (o Defray777).

Molti degli attacchi attribuiti al gruppo di minaccia Sprite Spider hanno visto lo sfruttamento di credenziali di accesso remoto (VDI/VPN) rubate al fine di ottenere un primo accesso al perimetro vittima. In passato, tuttavia, sono altresì state confermate infezioni RansomExx originate da impianti IcedID e Trickbot.

Sprite Spider è una crew attiva almeno dal 2017 e si caratterizza solitamente per la sua efficacia e velocità nel compromettere un ambiente vittima, utilizzando maggiormente tools offensivi come Vatet, PyXie e Cobalt Strike per ottenere esecuzione di payload malevoli di secondo e terzo stadio, performare movimentazione laterale, garantire persistenza ed in generale perseguire come scopo la maggiore penetrazione possibile all’interno degli ambienti colpiti.

In via generale, a seguito di una prima intrusione, il loro arsenale mira ad ottenere credenziali privilegiate sull’AD (Active Directory, come del resto altri gruppi simili) per poi diffondere payloads di secondo e terzo stadio (l’ultimo, ovviamente, è rappresentato dal ransomware RansomEXX). Solitamente, a partire dal primo accesso, passano da uno a tre giorni per il rilascio del payload finale.

Nonostante Sprite Spider si sia trovato spesso in prossimità di dati di grande valore, in qualche caso non è stato osservato esfiltrare dati dalle vittime ma si è “limitato” a renderli solo indisponibili aumentando la frequenza nell’esfiltrazione dati solo nell’ultimo periodo di attività. L’attenzione del gruppo si sposta spesso anche sul collezionamento di credenziali utili per l’accesso a sistemi partner della vittima o servizi di terze parti.

La crew risulta spesso in grado di sfuggire ed evadere anche le soluzioni di sicurezza endpoint e di rete più avanzate nascondendo frammenti del proprio codice malevolo in progetti open-source ed adottando un approccio all’operazione che vede, come linea di principio, la scrittura di pochissimi files su disco complicando di molto le attività di rilevamento.

Molto spesso, infatti, l’unico payload scritto su disco risulta quello di Vatet, il che complica enevitabilmente anche le attività di risposta agli incidenti. RansomEXX, invece, viene solitamente eseguito come payload secondario (talvolta terziario) direttamente in memoria senza mai toccare il disco.

L’attore di solito prepara un payload RansomEXX unico e specifico per ciascuna delle vittime, rendendo l’impianto più elusivo e difficile da tracciare. Durante la sua esecuzione, esso ha la capacità di terminare alcuni thread e processi “indesiderabili” come powershell.exe, rundll32.exe, vmnat.exe, wefault.exe ed explorer.exe. È in grado di crittografare i file utilizzando AES-256 senza interrompere le funzionalità principali del sistema ed esegue specifici comandi di interazione con esso sulla base della loro potenzialità di destare sospetti e comunque sempre dopo che i file sono già stati impattati dalle sue operazioni. Questo fa sì molto spesso che i file siano già crittografati nel momento in cui gli strumenti di sicurezza, come gli EDR, sono in grado di segnalare potenziali attività dannose.

Nel 2020, Sprite Spider si è evoluto per prendere di mira non solo le piattaforme Windows, ma anche Linux attraverso un porting dedicato della versione Windows (con la quale condivide logica operativa ed ingegneria), rendendolo il primo ransomware ad avere un eseguibile autonomo sia per Windows che per Linux. Per tale motivo Sprite Spider è anche in grado di focalizzare la propria attenzione verso infrastrutture che abbiano la capacità di eseguire binari ELF, come i server VMWare ESXI.

Tuttavia, nonostante l’attenzione per i dettagli e l’eleganza mostrata durante le operazioni, Sprite Spider include anche componentistica che potremmo definire “semplice” nel proprio arsenale, compreso il ransomware RansomEXX.

Esso infatti risulta piuttosto immediato ed orientato all’efficacia piuttosto che alla complessità. Tuttavia, risulta assolutamente performante ed affidabile nell’eseguire il compito per il quale risulta progettato.

Cenni Tecnici: RansomEXX

Come accennato, RansomEXX è un payload semplice. All’avvio recupera una serie di stringhe utili al proseguimento delle operazioni ed alla scrittura di log di esecuzione

Crea un mutex dal GUID della macchina e prosegue terminando quei processi e servizi di sistema che potrebbero interferire con le proprie finalità

Dopo tali fasi preparatorie il payload provvede a cifrare i file presenti sul sistema. I file vengono crittografati utilizzando AES in modalità ECB con una chiave a 256 bit generata in modo univoco per ciascun file. La chiave viene quindi crittografata utilizzando una chiave pubblica RSA a 4096 bit ed inclusa al file crittografato. Il ransomware esegue dunque la disabilitazione del file recovery e del system restore

Infine, sovrascrive i file cancellati in modo da assicurarsi che essi non possano essere recuperati via carving del disco.

Dopo tali operazioni una serie di istruzioni per il recupero dei file viene fornita alla vittima e si presenta simile alla seguente:

Rilevamento

rule RansomEXX_Ransomware_827322_00002 {meta:description = “Detects variants of RansomEXX ransomware payloads for Windows”author = “Emanuele De Lucia”strings:$ = “vmnat.exe” fullword wide$ = “cipher.exe” fullword wide$ = “wbadmin.exe” fullword wide$ = “BackupExecDeviceMediaService” fullword wide$ = “BackupExecManagementService” fullword wide$ = “BackupExecRPCService” fullword wide$ = “ani|.cab|.cpl|.cur|.diagcab|.diagpkg|.dll|.drv|.hlp|.icl|.icns|.ico|.iso|.ics|.lnk|.idx|. mod|.mpa|.msc|.msp|.msstyles|.msu|.nom” ascii$ = “debug.txt” fullword widecondition:uint16(0) == 0x5a4d and all of them}

Conclusioni

Vista la natura e la tipologia della minaccia l’attacco contro Regione Lazio mostrerebbe tutte le connotazioni di una operazione di tipo opportunistico di matrice criminale.

Sprite Spider, infatti, pur operando in maniera similare a gruppi di matrice statuale più vicini a minacce di tipo APT, è solitamente motivato dal guadagno economico. Non mi sentirei di escludere ulteriori vittime italiane da parte di questo attore nell’immediato futuro.

Fonte

https://www.emanueledelucia.net/it/crash-course-on-ransomexx-aka-defray777/

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Sicurezza è Lavoro: dal cantiere al cloud, dobbiamo proteggere chi costruisce l’Italia!

1° Maggio, un giorno per onorare chi lavora, chi lotta per farlo in modo dignitoso e chi, troppo spesso, perde la vita mentre svolge la propria mansione. Nel 2025, l’Italia continua a pian...

Buon World Password Day! Tra MIT, Hacker, Infostealer e MFA. Perchè sono così vulnerabili

Domani celebreremo uno degli elementi più iconici – e al tempo stesso vulnerabili – della nostra vita digitale: la password. Da semplice chiave d’accesso inventata negli anni...

Benvenuti su Mist Market: dove con un click compri droga, identità e banconote false

Ci sono luoghi nel web dove la normalità cede il passo all’illecito, dove l’apparenza di un marketplace moderno e funzionale si trasforma in una vetrina globale per ogni tipo di rea...

La Cina Accusa la NSA di aver usato Backdoor Native su Windows per hackerare i Giochi Asiatici

Le backdoor come sappiamo sono ovunque e qualora presenti possono essere utilizzate sia da chi le ha richieste ma anche a vantaggio di chi le ha scoperte e questo potrebbe essere un caso emblematico s...

WindTre comunica un DataBreach che ha coinvolto i sistemi dei rivenditori

Il 25 febbraio 2025 WindTre ha rilevato un accesso non autorizzato ai sistemi informatici utilizzati dai propri rivenditori. L’intrusione, riconosciuta come un’azione malevola, è st...