skip to Main Content

Cybercrime, arriva Thanos nuovo ransomware-as-a-service

Recorded Future: Il cybercrime sta diffondendo un nuovo ransomware-as-a-service in rete: Thanos. Il private builder contenente 43 opzioni di configurazione e incorpora la RIPlace per evitare di essere rilevato

Il cybercrime sta diffondendo un nuovo ransomware-as-a-service in rete: Thanos. Lo hanno scoperto gli esperti di cyber security di Recorded Future. Il malware viene pubblicizzato come un private builder contenente 43 opzioni di configurazione. Il client, come ricorda il CSIRT-Italia, è scritto in C# e presenta caratteristiche generali di funzionamento non particolarmente complesse, incorporandone altre più avanzate come la tecnica RIPlace per evitare il rilevamento da parte degli apparati di sicurezza. I suoi autori offrono la possibilità di sottoscrivere un abbonamento mensile “light” o a vita “company”. Quest’ultimo include caratteristiche aggiuntive rispetto al primo, come funzionalità di RootKit, funzione di propagazione sulla LAN target e tecnica di evasion detection RIPlace. Questa, dimostrata da Nyotron con una POC, permette ai codici malevoli che la utilizzano di superare molti dei sistemi anti-ransomware esistenti, tra cui alcuni antivirus e strumenti di EDR. 

Come funziona il malware secondo gli esperti di cyber security

Secondo gli esperti di cyber security, Thanos builder presenta alcune funzioni attivate di default. Altre, invece, possono essere inserite successivamente, grazie a un’interfaccia grafica completa, che offre la possibilità di implementare diverse opzioni durante la fase di configurazione. Una volta completata la fase di configurazione, il builder del cybercrime genera un file eseguibile .NET all’interno della directory desiderata. I file binari ottenuti vengono offuscati dal ransomware attraverso l’utilizzo di due tecniche differenti. La prima sfrutta una versione piratata del software di offuscamento commerciale SmartAssembly distribuito dalla società Redgate, mentre la seconda è costituita da un’opzione di configurazione che permette la creazione di un file di installazione di tipo Inno Setup, in cui è contenuto il client del ransomware generato. Infine, il client del malware è scritto in C# e presenta diverse funzioni.

Back To Top