SharpRatto rinoceronte
Il gruppo Hunters International Ransomware ha sviluppato un nuovo Trojan di accesso remoto (RAT) in C# denominato SharpRhino per prendere di mira i lavoratori IT e infiltrarsi nelle reti aziendali. Questo malware facilita l'infezione iniziale, l'escalation dei privilegi sui sistemi compromessi, l'esecuzione dei comandi PowerShell e, infine, l'implementazione del ransomware.
I ricercatori di sicurezza informatica hanno identificato che il malware si sta diffondendo attraverso un sito di typosquatting che imita il sito Web di Angry IP Scanner, un popolare strumento di rete utilizzato dai professionisti IT.
Sommario
Possibile rebranding del precedente gruppo criminale informatico
Si sospetta che Hunters International , un'operazione ransomware lanciata alla fine del 2023, sia un rebranding di Hive a causa delle somiglianze nel loro codice. Tra le sue vittime più importanti ci sono Austal USA, un appaltatore della Marina americana, il colosso giapponese dell'ottica Hoya, Integris Health e il Fred Hutch Cancer Center, evidenziando il disprezzo del gruppo per i confini etici.
Nel 2024, il gruppo ha rivendicato la responsabilità di 134 attacchi ransomware contro organizzazioni di tutto il mondo (escluse quelle nella regione della CSI), diventando così il decimo gruppo ransomware più attivo quest'anno.
Come funziona SharpRhino RAT?
SharpRhino è distribuito come programma di installazione a 32 bit con firma digitale ("ipscan-3.9.1-setup.exe") che include un archivio 7z autoestraente e protetto da password contenente file aggiuntivi necessari per il processo di infezione. Al momento dell'installazione, il software altera il registro di Windows per motivi di persistenza e crea un collegamento a Microsoft.AnyKey.exe, un binario di Microsoft Visual Studio che viene utilizzato in modo improprio in questo contesto.
Il programma di installazione rilascia anche "LogUpdate.bat", che esegue script PowerShell sul dispositivo per compilare il codice C# in memoria, consentendo l'esecuzione furtiva di malware. Per ridondanza, il programma di installazione crea due directory: "C:\ProgramData\Microsoft: WindowsUpdater24" e "LogUpdateWindows", entrambe utilizzate per la comunicazione di comando e controllo (C2).
Il malware ha due comandi codificati: "delay", che imposta il timer per la successiva richiesta POST per recuperare un comando, e "exit", che termina la sua comunicazione. L'analisi rivela che il malware può eseguire comandi PowerShell sull'host, consentendogli di eseguire varie azioni dannose.
I criminali informatici utilizzano siti falsi che imitano strumenti legittimi
The Hunters International ha adottato una nuova strategia che prevede l'utilizzo di siti Web che imitano strumenti di scansione di rete open source legittimi per prendere di mira i professionisti IT, con l'obiettivo di violare account con privilegi elevati.
Gli utenti dovrebbero prestare attenzione ai risultati di ricerca sponsorizzati per evitare malvertising, utilizzare blocchi pubblicitari per impedire la visualizzazione di questi risultati e aggiungere ai segnalibri i siti ufficiali del progetto noti per fornire installatori sicuri. Per indebolire l'impatto degli attacchi ransomware, implementa un solido piano di backup, pratica la segmentazione della rete e mantieni aggiornato tutto il software per ridurre al minimo le opportunità di escalation dei privilegi e spostamento laterale.
