La tecnica di bypass ransomware RIPlace, scoperto dai ricercatori della sicurezza a novembre 2019, è stato ora implementato dalla famiglia di ransomware Thanos.
Questo è il primo caso di RIPlace utilizzato da ransomware. La tecnica si basa su poche righe di codice per successo a eludere built-in funzioni di protezione ransomware, presente in soluzioni di sicurezza e di Windows 10.
Il programma di affiliazione di Thanos ora include il bypass RIPlace
Il ransomware Thanos si è sviluppato secondo il modello ransomware-as-a-service, e sta guadagnando popolarità sui forum sotterranei. Nonostante includa questa tecnica di bypass, il ransomware non mostra alcun comportamento innovativo o sofisticato. Tuttavia, la semplicità del ransomware è la ragione per cui sta guadagnando popolarità tra i criminali informatici.
Il generatore Thanos consente agli affiliati al crimine informatico di creare client ransomware con varie opzioni, pubblicizzato nel suo programma di affiliazione di Ransomware. Il builder viene offerto come abbonamento mensile o a vita, dice Threatpost. La versione "aziendale" a vita include funzionalità aggiuntive, tra cui funzionalità per il furto di dati, la tecnica RIPlace, e capacità di movimento laterale. I ricercatori della sicurezza hanno osservato più di 80 diversi clienti offerti dal programma di affiliazione Thanos. RIPlace può essere abilitato a scelta, con conseguente modifica del processo di crittografia per includere la tecnica di bypass.
Correlata: RIPlace ransomware Protezione Bypass riguarda Windows, produttori di antivirus
Maggiori informazioni su RIPlace
La tecnica RIPlace è stata scoperta l'anno scorso da numerosi ricercatori sulla sicurezza di Nyotron - Daniel Prizmant, Guy Meoded, Freddy Ouzan, e Hanan Natan. I ricercatori hanno contattato vendor di sicurezza e di Microsoft in merito alla questione. Tuttavia, a quanto pare solo due fornitori hanno preso le misure necessarie per affrontare il problema e garantire il prodotto interessato.
Le altre società sembravano ritenere che RIPlace fosse un "non-problema". società interessate comprendono nomi come Microsoft, Symantec, Sophos, Carbone nero, Trend Micro, McAfee, Kaspersky, Cylance, SentineOne, Malwarebytes, Crowdstrike, e PANW Trappole. Kaspersky e Carbon Black sono le uniche società che hanno assicurato i loro prodotti contro la tecnica di bypass RIPlace. Tuttavia, l'attuale implementazione di RIPlace in una famiglia di ransomware dimostra che si tratta effettivamente di un problema che richiede attenzione.
Per quanto riguarda il ransomware Thanos, sembra essere in fase di sviluppo attivo. Il ransomware ha ricevuto feedback positivi dai criminali informatici sui forum sotterranei, il che significa che continuerà ad essere armato di attacchi.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: