Lockbit e StealBit: un'accoppiata micidiale

LockBit opera come RaaS(Ransomware as a Service) e aiuta i suoi partner fornendo un servizio di esfiltrazione dei dati denominato StealBit. Yoroi Malware ZLAB ha esaminato Stealbit 2.0 rivelando che gli autori di questo ransomware hanno adottato tecniche estremamente sofisticate di evasione.
Hanno infatti osservato la mancanza di metadati nei campi PE. Sebbene i ricercatori abbiano trovato campi come il timestamp del compilatore, l'entry point ed il Dos Header, non hanno trovati dati negli altri campi.
E' stata trovata vuota addirittura al IAT table, utilizzata per elencare le API caricate dall'eseguibile.
Gli aggressori hanno anche utilizzato ampiamente l'offuscamento delle stringhe dello stack per nascondere i nomi DLL nativi da caricare.
Naturalmente tutto questo viene fatto per rendere la vita dei Malware Analyst estremamente complicata ;-)
I ricercatori di Zlab sono però riusciti ad analizzare staticamente il malware identificanco alcuni indirizzi IP e scoprendo che erano stati utilizzati in passato per altri scopi dannosi tra cui attacchi di phishing alle banche o distribuzione di malware mobile, non correlati al gruppo LockBit.
In uno dei casi, lo stesso indirizzo IP è stato utilizzato per effettuare attacchi di phishing in Italia ed esfiltrazione di dati.
Nell'ultimo mese, TrendMicro ha pubblicato un rapporto che descrive in dettaglio la recente campagna di LockBit 2.0.
Dal 1 luglio al 15 agosto, attacchi associati a LockBit 2.0 sono stati osservati nel Regno Unito, a Taiwan, in Cile e in Italia.
Inoltre, LockBit 2.0 abusa di strumenti autentici (ad esempio Process Hacker e PC Hunter) per fermare i processi / servizi del sistema della vittima.
L'evoluzione di StealBit in StealBit 2.0 evidenzia il fatto che i criminali informatici stanno investendo molto tempo e sforzi per migliorare le loro capacità di esfiltrazione dei dati. Grazie a tali strumenti, la protezione delle informazioni sensibili è ora più impegnativa che mai.

Pin It

A cura di...

Antonio Capobianco
Antonio Capobianco
Malware Analyst
Image
Vincenzo Alonge
Ethical Hacker e Forensic Analyst
Image
Andrea Tassotti
Ethical Hacker e Pentester
Image
Andrea Covino
Ethical Hacker e Forensic Analyst

Per rimanere aggiornato iscriviti alla nostra newsletter

Cyber Security UP

CybersecurityUP è una BU di Fata Informatica.
Dal 1994 eroghiamo servizi di sicurezza IT per grandi organizzazioni sia civili che militari.
  • Ethical Hacking
  • Red Teaming
  • Penetration Testing
  • Security Code Review
  • SOC 24x7
  • Formazione specialistica
Image
Image
Image
Via Tiburtina 912,
CAP 00156,
ROMA

Lunedì-venerdì
09:30 - 13:00
14:00 - 18:30

+39 06 4080 0490
amministrazione@fatainformatica.com

Contattaci

Necessiti dei nostri servizi di Cybersecurity?

Privacy policy

Ti invitiamo prendere visione della nostra
privacy policy  per la protezione dei tuoi dati personali.
Disclaimer
Alcune delle foto presenti su Cybersecurityup.it potrebbero essere state prese da Internet e quindi valutate di pubblico dominio. Se i soggetti o gli autori avessero qualcosa in contrario alla pubblicazione, lo possono segnalare via email alla redazione che provvederà prontamente alla rimozione delle immagini utilizzate.
© 2024 Fata Informatica. Tutti i diritti riservati.