Makop Ransomware Gang: uno sguardo all’interno

··2 min read
Dario Fadda

La banda di ransomware Makop è un attore di ransomware di livello secondario che è operativo dal 2020.

Il ricercatore di sicurezza informatica Luca Mella ha condiviso approfondimenti tecnici sul ransomware Makop che raggiunge la persistenza attraverso strumenti .NET dedicati.

Nonostante la sua bassa classificazione, l’attore di minacce ha preso di mira con successo le aziende in Europa e in Italia con il suo arsenale ibrido di sviluppato su misura e pronto all’uso strumenti software. In questo articolo, diamo un’occhiata più da vicino ad alcuni dei dettagli tecnici dell’arsenale di Makop ransomware.

Cosa è stato scoperto?

È stato scoperto che la banda di ransomware Makop utilizza una serie di strumenti sviluppati su misura per eseguire i propri attacchi. 

  • Tra questi c’è uno strumento chiamato ARestore che è stato creato nel 2020 e parzialmente offuscato. 
  • Questo strumento genera elenchi combinati di nomi utente Windows locali e potenziali password e li verifica localmente. 
  • I truffatori lo usano dopo la fase di accesso iniziale della loro catena di attacco. 
  • Inoltre, gli operatori sfruttano altri assembly .NET personalizzati, come PuffedUp, per raggiungere ulteriori fasi della kill chain. 
  • Questo particolare strumento è progettato per garantire la persistenza dopo l’accesso iniziale. 
  • Lo strumento si basa su un file di configurazione testuale posto nella stessa cartella, contenente una o più stringhe di 42 caratteri che verranno inserite negli appunti dell’utente.

Esternalizzare l’attacco

La banda di ransomware utilizza anche strumenti open source e freeware pronti all’uso per proseguire il movimento laterale e la scansione del sistema. 

See also
  • Insieme all’abuso di strumenti Microsoft SysInternal come PsExec e altri noti strumenti open source come Putty e Mimikatz , Makop ha abusato di software ancora più peculiari. 
  • Ad esempio, gli aggressori hanno recentemente utilizzato Advanced Port Scanner e lo strumento Windows Everything.
  • Un altro strumento unico utilizzato dal gruppo include uno strumento di amministrazione del sistema, soprannominato YDArk. È uno strumento open source disponibile su GitHub. 

In sintesi

La banda di ransomware Makop ha a sua disposizione un arsenale di strumenti software sia sviluppati su misura che pronti all’uso. 

L’uso di questi strumenti è una chiara indicazione delle tecniche in evoluzione che i criminali informatici utilizzano per condurre estorsioni digitali. Le organizzazioni devono adottare misure proattive per difendersi dagli attacchi di tipo ransomware Makop, mantenendo il software aggiornato e conducendo controlli di sicurezza regolari.

Dario Fadda
IT & Security blogger per passione. Nel 2003 ho fondato Spcnet.it. Dal 2006 sono membro attivo del Gulch (Gruppo Utenti Linux Cagliari). Oggi scrivo qui e nella pagina "La Stampa dice" trovate i miei contributi per le testate giornalistiche. Per tutto il resto c'è dariofadda.it che contiene "quasi" tutto di me.
Related
Previous
ChipMixer è stato chiuso da Europol e la collaborazione di ProtonMail, Google, PayPal
Next
Mondo tech in crisi per il collasso di Silicon Valley Bank, arriva il phishing

News cybersecurity, malware, ransomware, and data security

Contacts

For any information/reporting, editorial, you may contact us by all the social channels listed and via e-mail to: info@spcnet.it

Secure channel for Whistlerblowers