Play ransomware: due tool per rubare i dati

Play ransomware: due tool per rubare i dati

Symantec hanno scoperto due tool usati dai cybercriminali per la scansione della rete e il furto di dati prima di installare il ransomware Play.
Play ransomware: due tool per rubare i dati
Symantec hanno scoperto due tool usati dai cybercriminali per la scansione della rete e il furto di dati prima di installare il ransomware Play.

I ricercatori di Symantec hanno scoperto due nuovi tool custom usati dai cybercriminali per raccogliere informazioni sui computer. Grixba e VSS Copying Tool consentono di effettuare la scansione della rete e di rubare le copie shadow dei volumi, prima di installare il ransomware Play. Gli utenti dovrebbero usare una soluzione di sicurezza aggiornata che rileva e blocca queste minacce recenti.

Grixba e VSS Copying Tool: funzionalità

Grixba è un tool di scansione della rete e info-stealer che identifica tutti gli utenti e tutti i computer nel dominio. Sfruttando software di gestione, tra cui WMI e WinRM, può scoprire servizi in esecuzione, applicazioni di backup e antivirus. Crea quindi file CSV che vengono aggiunti ad un archivio ZIP e inviati al server C2C (command and control) controllato dai cybercriminali.

VSS Copying Tool viene invece utilizzato per accedere al servizio copia shadow del volume di Windows, sfruttando la libreria .NET AlphaVSS. Il tool consente di prelevare file e cartelle dalla copie di backup (snapshot), anche se sono attualmente in uso e quindi bloccati dal sistema operativo.

La scansione della rete e il furto dei dati sono due operazioni preliminari. La catena di infezione termina con l’installazione del ransomware Play. Il malware sfrutta la cosiddetta crittografia a intermittenza che velocizza l’operazione, impedendo comunque il recupero dei file senza il decryptor che (teoricamente) verrà fornito dai cybercriminali solo se la vittima paga il riscatto. Se ciò non avviene, i dati vengono pubblicati online (doppia estorsione).

Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione nel rispetto del codice etico. Le offerte potrebbero subire variazioni di prezzo dopo la pubblicazione.
Fonte: Symantec
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 21 apr 2023
Link copiato negli appunti