Introduzione
Il 26 giugno 2024, il gruppo Noname057 ha annunciato una nuova alleanza con il team di hacker italiani AzzaSec, aumentando notevolmente la loro visibilità nel panorama del cybercrime. AzzaSec ha lanciato il proprio ransomware sul mercato il 23 giugno 2024, noto per i vari defacement di siti web.
TRAFFIC LIGHT PROTOCOL
WHITE: Queste informazioni possono essere condivise pubblicamente senza restrizioni. Non sono sensibili e possono essere diffuse liberamente. Non ci sono limitazioni alla condivisione.
Conformazione del ransomware
Il ransomware analizzato è scritto in Visual Basic (VB) e Dotnet (.NET), due linguaggi di programmazione sviluppati da Microsoft. VB è utilizzato per accesso ai file di sistema e interazione con l’utente, mentre .NET fornisce funzionalità avanzate di manipolazione dei dati e comunicazione con server remoti.
Azioni del Malware
• Persistenza: Il malware crea un file nella cartella di avvio automatico di Windows per garantire che venga eseguito ad ogni riavvio del sistema.
• Cifratura dei File: Utilizza l’algoritmo AES per cifrare i file sul sistema infetto, inviando la chiave di cifratura a un dominio placeholder (yoursite.com).
• Eliminazione delle Shadow Copy: Rimuove le copie di backup automatiche di Windows per impedire il ripristino dei file criptati senza pagare il riscatto.
• Modifica dello Sfondo: Cambia lo sfondo del desktop dell’utente con un’immagine personalizzata contenente informazioni sul ransomware e istruzioni per il pagamento del riscatto.
• Funzionalità Anti-Emulatore: Include tecniche sofisticate per rilevare ambienti di analisi come debugger, sandbox e macchine virtuali, interrompendo l’esecuzione del ransomware in tali ambienti.
Sessioni TCP
Il ransomware stabilisce diverse sessioni TCP con il server dell’acquirente, trasmettendo il nome del sistema infetto e la chiave di cifratura.
Collaborazioni
L’analisi delle stringhe suggerisce una possibile collaborazione tra AzzaSec e XTEAM1916, un gruppo di cybercriminali con base in Afghanistan.
Conclusioni
Il campione analizzato appare semplice e privo di molti dei sistemi di sicurezza avanzati utilizzati dalle ransomware gang più famose. Questa semplicità rende il malware suscettibile all’analisi e al reverse engineering. Nonostante la sua semplicità, il malware potrebbe comunque causare danni significativi se distribuito su larga scala.
*Questa analisi è stata condotta su un campione caricato erroneamente su una sandbox online da un utente. Pertanto, non possiamo garantire che le tecnologie e le metodologie descritte in questo documento siano esattamente quelle utilizzate in un attacco