Connect with us

Sicurezza Informatica

Versione Linux di RansomHub mira le VM VMware ESXi

Tempo di lettura: 4 minuti. La versione Linux di RansomHub mira le VM VMware ESXi: caratteristiche, le tecniche di cifratura e collegamenti al defunto Knight

Pubblicato

in data

Tempo di lettura: 4 minuti.

La recente operazione ransomware nota come RansomHub ha sviluppato un encryptor Linux progettato specificamente per criptare gli ambienti VMware ESXi nelle attacchi aziendali. Questo ransomware-as-a-service (RaaS) è stato lanciato a febbraio 2024 e presenta somiglianze di codice con ALPHV/BlackCat e Knight ransomware. RansomHub ha già colpito oltre 45 vittime in 18 paesi diversi.

Caratteristiche del RansomHub per ESXi

A differenza delle versioni Windows e Linux scritte in Go, la variante ESXi di RansomHub è un programma C++ derivato dal ransomware Knight. Questa variante è stata osservata per la prima volta ad aprile 2024 e include diverse opzioni di configurazione e comandi specifici per ESXi.

Opzioni e Comandi Specifici per ESXi
  • Comandi di gestione delle VM: ‘vim-cmd vmsvc/getallvms’, ‘vim-cmd vmsvc/snapshot.removeall’ e ‘esxcli vm process kill’ per elencare le VM, rimuovere snapshot e spegnere le VM.
  • Disabilitazione dei servizi critici: Disabilita syslog e altri servizi per impedire il logging.
  • Eliminazione automatica: L’encryptor può configurarsi per eliminarsi dopo l’esecuzione, evitando il rilevamento e l’analisi.
Schema di Cifratura

Il ransomware utilizza ChaCha20 con Curve25519 per la generazione delle chiavi pubbliche e private. Cripta parzialmente i file relativi a ESXi come ‘.vmdk’, ‘.vmx’ e ‘.vmsn’ per migliorare le prestazioni, criptando solo il primo megabyte di file più grandi di 1MB e ripetendo i blocchi di cifratura ogni 11MB. Un footer di 113 byte viene aggiunto a ogni file cifrato, contenente la chiave pubblica della vittima, il nonce ChaCha20 e il conteggio dei blocchi.

Nota di Riscatto

La nota di riscatto viene scritta nei file ‘/etc/motd’ (Message of the Day) e ‘/usr/lib/vmware/hostd/docroot/ui/index.html’ per renderla visibile agli amministratori durante il login e attraverso le interfacce web.

Bug Critico e Mitigazione

Recorded Future ha scoperto un bug nella variante ESXi di RansomHub che può essere sfruttato per mettere il ransomware in un ciclo infinito, evitando la cifratura. Il ransomware verifica l’esistenza di un file denominato ‘/tmp/app.pid’. Se il file contiene ‘-1’, il ransomware entra in un ciclo infinito cercando di terminare un processo inesistente, neutralizzandosi di fatto.

Mitigazione del Bug

Le organizzazioni possono creare un file ‘/tmp/app.pid’ contenente ‘-1’ per proteggersi contro la variante ESXi di RansomHub, almeno finché gli operatori del RaaS non correggono il bug e rilasciano versioni aggiornate per i loro affiliati.

RansomHub rappresenta una seria minaccia per le infrastrutture virtuali aziendali, con un encryptor sofisticato specifico per VMware ESXi. Tuttavia, la scoperta di un bug critico offre una temporanea via di mitigazione che le organizzazioni possono sfruttare per proteggere i loro sistemi.

RansomHub: Collegamenti con il Ransomware Knight

Introduzione

I ricercatori di sicurezza stanno analizzando il nuovo ransomware-as-a-service (RaaS) noto come RansomHub, ritenendo che sia un’evoluzione del progetto ransomware Knight, ora defunto. RansomHub è noto per operare principalmente come gruppo di furto di dati ed estorsione, vendendo i file rubati al miglior offerente.

Storia recente di RansomHub

RansomHub ha attirato l’attenzione a metà aprile quando ha diffuso dati rubati dalla sussidiaria United Health, Change Healthcare, in seguito a un attacco di BlackCat/ALPHV. Più recentemente, il 28 maggio, la casa d’aste internazionale Christie’s ha ammesso di aver subito un incidente di sicurezza dopo che RansomHub aveva minacciato di diffondere dati rubati.

Il ransomware Knight è stato lanciato a fine luglio 2023 come rebranding dell’operazione Cyclops, iniziando a compromettere macchine Windows, macOS e Linux/ESXi per rubare dati e richiedere un riscatto. Knight offriva anche agli affiliati un componente di info-stealer per rendere gli attacchi più impattanti.

Nel febbraio 2024, il codice sorgente della versione 3.0 di Knight è stato messo in vendita su forum hacker, il portale di estorsione delle vittime è stato chiuso e l’operazione RaaS è diventata silente.

Knight ransomware sale post on RAMP forums Knight ransomware sale post on RAMP forums
source:KELA

Origine di RansomHub

I malware analysts di Symantec hanno trovato numerose somiglianze tra le famiglie ransomware Knight e RansomHub, suggerendo un’origine comune:

  • Entrambe le famiglie ransomware sono scritte in Go e usano Gobfuscate per l’offuscamento.
  • Ampie sovrapposizioni di codice nei payload di malware.
  • Tecniche di offuscamento uniche con stringhe importanti codificate con chiavi uniche.
  • Note di riscatto simili, con aggiornamenti minori su RansomHub.
  • Entrambi i ransomware riavviano gli endpoint in modalità sicura prima della crittografia.
  • I menu di aiuto della riga di comando sono identici, con l’unica differenza di un comando ‘sleep’ su RansomHub.
  • La sequenza e il metodo delle operazioni di esecuzione dei comandi sono identici, anche se RansomHub ora li esegue tramite cmd.exe.

Comparison of command-line help menus, Knight (left), RansomHub (right) Comparison of command-line help menus, Knight (left), RansomHub (right)
Source:Symantec

Questi elementi suggeriscono che RansomHub sia derivato da Knight, confermando che il gruppo di estorsione utilizza effettivamente un encryptor di dati. Inoltre, il periodo di comparsa di RansomHub nel febbraio 2024 coincide con la vendita del codice sorgente di Knight.

RansomHub rappresenta una continua minaccia nel panorama della sicurezza informatica, con legami diretti al codice del ransomware Knight. La sua evoluzione e l’adozione da parte di nuovi attori dimostrano l’importanza di una vigilanza costante e di misure di difesa avanzate per proteggere le infrastrutture aziendali. I ricercatori ritengono improbabile che RansomHub sia gestito dai creatori del ransomware Knight. Piuttosto, è probabile che un altro attore abbia acquistato il codice sorgente di Knight e abbia iniziato a usarlo per gli attacchi. Dalla sua comparsa, RansomHub è diventato una delle operazioni RaaS più prolifiche, attirando ex affiliati dell’operazione ALPHV, come Notchy e Scattered Spider.

Sicurezza Informatica

Donald Trump: FBI vuole accesso a smartphone dell’attentatore

Tempo di lettura: < 1 minuto. L’FBI indaga sull’attentato a Donald Trump in Pennsylvania: i dettagli dell’indagine e attività investigative e l’accesso allo smartphone dell’attentatore

Pubblicato

in data

Tempo di lettura: < 1 minuto.

L’FBI sta investigando sull’incidente di sparatoria avvenuto il 13 luglio durante un raduno a Butler, Pennsylvania, che ha provocato la morte di una persona e ferito l’ex presidente Donald Trump e altri spettatori e vuole avere accesso allo smartphone dell’attentatore essendo questo incidente considerato come un tentativo di assassinio e un potenziale atto di terrorismo domestico.

Dettagli dell’indagine

Finora, le indagini indicano che il tiratore ha agito da solo. Tuttavia, l’FBI continua a svolgere attività investigative per determinare se ci siano stati eventuali complici associati a questo attacco. Al momento, non ci sono preoccupazioni di sicurezza pubblica in corso.

Attività Investigative

  • Motivo del Tiratore: L’FBI non ha ancora identificato un motivo per le azioni del tiratore. Sono in corso attività per determinare la sequenza degli eventi e i movimenti del tiratore prima della sparatoria.
  • Raccolta di Prove: L’FBI sta raccogliendo e analizzando prove, conducendo interviste e seguendo tutte le piste disponibili.
  • Esame del Telefono del Tiratore: Il telefono del tiratore è stato acquisito per un esame approfondito.
  • Perquisizione della Casa e del Veicolo: L’FBI ha perquisito la casa e il veicolo del tiratore per raccogliere ulteriori prove. Dispositivi sospetti trovati in entrambe le località sono stati resi sicuri dai tecnici delle bombe e sono in fase di valutazione presso il Laboratorio dell’FBI.
  • Arma da fuoco: L’arma utilizzata nella sparatoria è stata acquistata legalmente.
  • Conoscenza precedente: Il tiratore non era noto all’FBI prima di questo incidente.

L’indagine dell’FBI è condotta dall’Ufficio del FBI di Pittsburgh in coordinamento con partner locali, statali e federali. I comunicati ufficiali precedenti riguardanti l’incidente possono essere trovati su sul sito dell’FBI.

Prosegui la lettura

Sicurezza Informatica

Disney violata da NullBulge: dati sensibili diffusi Online

Tempo di lettura: 2 minuti. Il gruppo NullBulge ha violato i canali Slack degli sviluppatori di Disney, diffondendo 1,1 terabyte di dati sensibili online.

Pubblicato

in data

Tempo di lettura: 2 minuti.

Un gruppo di cybercriminali noto come NullBulge ha affermato di aver scaricato i canali Slack utilizzati dagli sviluppatori di Disney. Questa fuga di dati rappresenta una delle più significative violazioni di sicurezza per l’azienda, con un totale di 1,1 terabyte di file e messaggi chat che sono stati sottratti e successivamente diffusi online.

Dettagli della violazione

Il gruppo NullBulge ha annunciato la violazione su BreachForums, un noto sito di divulgazione di dati, fornendo screenshot delle loro scoperte. La quantità di dati rubati include progetti non ancora rilasciati, immagini grezze, codice sorgente, alcune credenziali di accesso e link a API e pagine web interne di Disney. In totale, il gruppo ha avuto accesso a quasi 10.000 canali Slack.

Elementi CompromessiDettagli
Quantità di Dati1,1 terabyte
Numero di Canali SlackQuasi 10.000
Tipi di Dati RubatiProgetti non rilasciati, immagini, codice, credenziali
Altri DatiLink a API e pagine web interne

Modalità dell’Attacco

Secondo quanto riferito dal gruppo, l’attacco è stato facilitato da un insider che ha fornito accesso ai dati interni di Disney. Tuttavia, l’informatore ha avuto un ripensamento e ha interrotto la collaborazione, costringendo NullBulge a pubblicare i dati prima del previsto. Il gruppo ha anche minacciato di diffondere ulteriori informazioni personali, come login, carte di credito e numeri di sicurezza sociale, come avvertimento per futuri collaboratori.

Motivazioni e reazioni

NullBulge si definisce un gruppo hacktivista che mira a ottenere una migliore compensazione e protezione dei diritti degli artisti. Nonostante ciò, le loro azioni hanno sollevato preoccupazioni significative riguardo alla sicurezza dei dati aziendali e alla protezione delle informazioni sensibili. Disney non ha ancora rilasciato un commento ufficiale sull’incidente procurato da Nullbulge.

Questa violazione evidenzia la crescente minaccia rappresentata dagli attacchi informatici facilitati da collaboratori interni. Le aziende devono rafforzare le loro misure di sicurezza e sensibilizzare i dipendenti sui rischi e le conseguenze di tali azioni. Continueremo a monitorare la situazione e a fornire aggiornamenti man mano che emergeranno ulteriori informazioni.

Prosegui la lettura

Sicurezza Informatica

HardBit Ransomware: analisi e mitigazione delle minacce

Tempo di lettura: 3 minuti. HardBit Ransomware 4.0 introduce protezione con passphrase e obfuscazione avanzata. Scopri come proteggerti da questa minaccia.

Pubblicato

in data

Tempo di lettura: 3 minuti.

Cybereason Security Services pubblica rapporti di analisi delle minacce per informare sui pericoli attuali e fornire raccomandazioni pratiche per la protezione contro di essi ed esamina HardBit Ransomware versione 4.0, una nuova versione osservata recentemente.

HardBit Ransomware è un gruppo emerso nell’ottobre 2022, noto per non avere siti di leak e non utilizzare metodi di doppia estorsione. La versione 4.0 di HardBit introduce diversi miglioramenti rispetto alle versioni precedenti, tra cui la protezione con passphrase e l’obfuscazione avanzata.

Miglioramenti della Versione 4.0

Offuscazione del Binario

A differenza delle versioni precedenti, HardBit 4.0 è protetto da una passphrase che deve essere fornita durante l’esecuzione. Questa misura rende più difficile l’analisi del malware da parte dei ricercatori di sicurezza.

Versioni del Binario

HardBit Ransomware è disponibile in due versioni: CLI e GUI. Questa flessibilità permette al gruppo di espandere il proprio mercato a diversi livelli di competenza degli operatori.

Metodo di Distribuzione

HardBit viene distribuito tramite il malware Neshta, noto per la sua capacità di infettare file legittimi e mantenere la persistenza. Neshta funge anche da dropper per HardBit, depositando il binario ransomware nella directory temporanea durante l’esecuzione.

Analisi Tecnica

Accesso Iniziale

Il vettore di attacco iniziale di HardBit non è confermato, ma si ipotizza che gli attaccanti ottengano un punto d’appoggio nell’ambiente della vittima tramite brute force su servizi RDP e SMB aperti.

Accesso alle Credenziali

Gli attaccanti utilizzano strumenti come Mimikatz e NLBrute per il furto di credenziali e il brute force su RDP. Il loro script include anche strumenti come LaZagne e NirSoft per il recupero delle password.

Movimento Laterale

Gli attaccanti utilizzano RDP per spostarsi lateralmente nella rete aziendale della vittima, sfruttando le credenziali rubate.

Raccolta e Esfiltrazione Dati

I metodi precisi di raccolta ed esfiltrazione dei dati non sono stati identificati, ma HardBit deploya Neshta per criptare le macchine infette.

Esecuzione del Ransomware

HardBit necessita di un ID di autorizzazione decodificato per l’esecuzione. Questo ID viene decodificato utilizzando una chiave privata fornita dagli attaccanti.

Disabilitazione di Windows Defender

HardBit disabilita diverse funzionalità di Windows Defender per assicurare il successo dell’infezione, aggiornando chiavi di registro specifiche e utilizzando comandi PowerShell.

Inibizione del Recupero di Sistema

HardBit utilizza comandi come vssadmin delete shadows e wbadmin delete catalog per eliminare le copie shadow e i cataloghi di backup, impedendo il ripristino del sistema.

Criptazione dei Dati

Durante la criptazione, HardBit aggiorna le icone dei file infetti, l’etichetta del volume e crea file di messaggio contenenti le istruzioni per il riscatto.

Analisi Comparativa delle Versioni

TatticheHardBit 2.0HardBit 3.0HardBit 4.0
Disabilitazione di Windows Defender
Inibizione del Recupero di Sistema
Pacchetto Neshta
Protezione con Passphrase
Arresto dei Servizi
Supporto GUI
Modalità Wiper
File di configurazione
Obfuscazione con Ryan-_-Borland_Protector

Raccomandazioni per la Protezione

Cybereason raccomanda di abilitare il controllo delle applicazioni, la protezione predittiva contro i ransomware e la prevenzione dei payload varianti nel Cybereason Defense Platform per prevenire infezioni da HardBit Ransomware.

Prosegui la lettura

Facebook

CYBERSECURITY

Sicurezza Informatica10 ore fa

HardBit Ransomware: analisi e mitigazione delle minacce

Tempo di lettura: 3 minuti. HardBit Ransomware 4.0 introduce protezione con passphrase e obfuscazione avanzata. Scopri come proteggerti da questa...

Sicurezza Informatica2 giorni fa

Vulnerabilità in Modern Events Calendar: migliaia di WordPress a rischio

Tempo di lettura: 2 minuti. Vulnerabilità critica nel plugin Modern Events Calendar consente il caricamento arbitrario di file da parte...

Sicurezza Informatica2 giorni fa

Attacco RADIUS: panoramica dettagliata

Tempo di lettura: 3 minuti. Il protocollo RADIUS può essere compromesso utilizzando tecniche avanzate di collisione MD5 per eseguire attacchi...

Sicurezza Informatica2 giorni fa

ViperSoftX sfrutta AutoIt e CLR per l’esecuzione Stealth di PowerShell

Tempo di lettura: 3 minuti. ViperSoftX utilizza AutoIt e CLR per eseguire comandi PowerShell in modo stealth, eludendo i meccanismi...

Sicurezza Informatica2 giorni fa

Malware Poco RAT mira vittime di lingua spagnola

Tempo di lettura: 3 minuti. Poco RAT, nuovo malware che prende di mira le vittime di lingua spagnola con campagne...

Microsoft teams Microsoft teams
Sicurezza Informatica3 giorni fa

Falso Microsoft Teams per Mac distribuisce Atomic Stealer

Tempo di lettura: 2 minuti. Un falso Microsoft Teams per Mac distribuisce il malware Atomic Stealer tramite una campagna di...

CISA logo CISA logo
Sicurezza Informatica3 giorni fa

CISA hackera Agenzia Federale USA: vulnerabilità critiche Svelate

Tempo di lettura: 2 minuti. CISA svela vulnerabilità critiche in un'agenzia federale USA attraverso un'esercitazione di red team SILENTSHIELD

Sicurezza Informatica3 giorni fa

DarkGate usa file Excel per diffondere malware

Tempo di lettura: 3 minuti. DarkGate utilizza file Excel per diffondere malware sofisticato. Scopri come funziona questa minaccia e come...

Sicurezza Informatica4 giorni fa

SSH sotto attacco a causa di bug e vulnerabilità

Tempo di lettura: 3 minuti. Scopri le nuove minacce di CRYSTALRAY e la vulnerabilità di OpenSSH in RHEL 9. Approfondisci...

Sicurezza Informatica4 giorni fa

CoreTech: accordo con TuxCare migliora sicurezza negli ambienti Linux

Tempo di lettura: 2 minuti. L'accordo migliora lo standard qualitativo dell'offerta Linux per quel che concerne la risposta alle vulnerabilità

Truffe recenti

Inchieste7 giorni fa

Idealong.com chiuso, ma attenti a marketideal.xyz e bol-it.com

Tempo di lettura: 2 minuti. Dopo aver svelato la truffa Idealong, abbiamo scoperto altri link che ospitano offerte di lavoro...

Inchieste2 settimane fa

Idealong.com spilla soldi ed assolda lavoratori per recensioni false

Tempo di lettura: 4 minuti. Il metodo Idealong ha sostituito Mazarsiu e, dalle segnalazioni dei clienti, la truffa agisce su...

Sicurezza Informatica2 settimane fa

Truffa lavoro online: Mazarsiu sparito, attenti a idealong.com

Tempo di lettura: 2 minuti. Dopo il sito Mazarsiu, abbandonato dai criminali dopo le inchieste di Matrice Digitale, emerge un...

fbi fbi
Sicurezza Informatica1 mese fa

FBI legge Matrice Digitale? Avviso sulle truffe di lavoro Online

Tempo di lettura: 2 minuti. L'FBI segnala un aumento delle truffe lavoro da casa con pagamenti in criptovaluta, offrendo consigli...

Sicurezza Informatica2 mesi fa

Milano: operazione “Trust”, frodi informatiche e riciclaggio di criptovaluta

Tempo di lettura: 2 minuti. Scoperta un'organizzazione criminale transnazionale specializzata in frodi informatiche e riciclaggio di criptovaluta nell'operazione "Trust"

Inchieste2 mesi fa

Truffa lavoro Online: analisi metodo Mazarsiu e consigli

Tempo di lettura: 4 minuti. Mazarsiu e Temunao sono solo due portali di arrivo della truffa di lavoro online che...

Inchieste2 mesi fa

Mazarsiu e Temunao: non solo truffa, ma un vero metodo

Tempo di lettura: 4 minuti. Le inchieste su Temunao e Marasiu hanno attivato tante segnalazioni alla redazione di persone che...

Pharmapiuit.com Pharmapiuit.com
Inchieste2 mesi fa

Pharmapiuit.com : sito truffa online dal 2023

Tempo di lettura: 2 minuti. Pharmapiuit.com è l'ultimo sito truffa ancora online di una serie di portali che promettono forti...

Temunao.Top Temunao.Top
Inchieste2 mesi fa

Temunao.Top: altro sito truffa che promette lavoro OnLine

Tempo di lettura: 2 minuti. Temunao.top è l'ennesimo sito web truffa che promette un premio finale a coloro che effettuano...

Inchieste2 mesi fa

Attenti a Mazarsiu.com : offerta lavoro truffa da piattaforma Adecco

Tempo di lettura: 2 minuti. Dalla piattaforma Adecco ad un sito che offre lavoro attraverso le Google Ads: è la...

Tech

Tech4 ore fa

Aggiornamento di Linux 6.10: le novità del kernel

Tempo di lettura: < 1 minuto. Novità Kernel Linux 6.10, inclusi miglioramenti per bcachefs, netfs e driver cruciali: i dettagli...

Xiaomi Mix Flip Xiaomi Mix Flip
Smartphone4 ore fa

Xiaomi MIX Flip avvistato su Geekbench: specifiche e dettagli

Tempo di lettura: 2 minuti. Xiaomi MIX Flip avvistato su Geekbench con Snapdragon 8 Gen 3 SoC, 12GB di RAM...

Smartphone7 ore fa

CMF Phone 1 ha una riparabilità complessa e scadente

Tempo di lettura: 2 minuti. CMF Phone 1, con il suo design modulare, presenta sfide significative per la riparabilità: dettagli...

Smartphone7 ore fa

HMD Skyline: ritorna al design iconico del Nokia Lumia 920

Tempo di lettura: 2 minuti. Scopri l'HMD Skyline, il nuovo smartphone di HMD Global con un design ispirato al Nokia...

Smartphone8 ore fa

iQOO Z9 Lite 5G disponibile in India: prezzo e specifiche tecniche

Tempo di lettura: 3 minuti. iQOO Z9 Lite 5G è stato lanciato in India con specifiche competitive : Scopri il...

Tech9 ore fa

Qualcomm: innovazione nei processori con Snapdragon X e 8 Gen 4

Tempo di lettura: 2 minuti. Qualcomm continua a ridefinire il panorama dei processori con il lancio di nuove serie di...

Samsung visore XR oledos Samsung visore XR oledos
Smartphone9 ore fa

Samsung inarrestabile: visore e foto astrali per l’S23 e S24

Tempo di lettura: 3 minuti. Scopri il lancio del Samsung XR headset, gli aggiornamenti della fotocamera per Galaxy S23 e...

Tech10 ore fa

Apple HomePod Mini in colore Midnight

Tempo di lettura: < 1 minuto. Apple ha lanciato una nuova variante di colore "Midnight" per l'HomePod mini, sostituendo l'opzione...

Tech10 ore fa

Galaxy Buds 3: maggiore resistenza e comfort superiore

Tempo di lettura: 2 minuti. Miglioramenti delle Galaxy Buds 3 e Galaxy Buds 3 Pro, con una maggiore resistenza a...

Antutu logo Antutu logo
Smartphone16 ore fa

I migliori 10 smartphone Android su AnTuTu per Giugno 2024

Tempo di lettura: 5 minuti. I migliori 10 smartphone Android su AnTuTu per giugno 2024, con modelli di ASUS, nubia,...

Tendenza