StopCrypt: nuova variante del ransomware sfugge al rilevamento

La società di sicurezza SonicWall ha individuato una nuova variante del ransomware StopCrypt (noto anche come STOP o STOP Djvu). Questa impiega un processo di esecuzione in più fasi che coinvolge shellcode per eludere gli strumenti di sicurezza. Ad oggi, StopCrypt è il ransomware più diffuso esistente di cui raramente si sente parlare. A differenza di LockBit, BlackCat e Clop, questo ransomware non prende di mira le aziende, ma piuttosto i singoli utenti. I riscatti richiesti non sono di migliaia di dollari. Gli hacker tendono più a ottenere decine di migliaia di piccoli pagamenti di riscatto da 400 a 1.000 dollari. Il ransomware viene distribuito tramite malvertising e shady site che distribuiscono pacchetti di adware camuffati da software gratuito, trucchi di giochi e crack di software. Tuttavia, quando questi programmi vengono installati, gli utenti vengono infettati da diversi malware, inclusi trojan che rubano password, e ransomware STPOP.

StopCrypt: le fasi dell’attacco del ransomware

Dalla sua versione originale nel 2018, il programma di crittografia ransomware non è cambiato molto. In questa nuova versione il malware carica un file DLL apparentemente non correlato (msim32.dll), forse come diversivo. Implementa inoltre una serie di cicli a lungo ritardo che possono aiutare a bypassare le misure di sicurezza legate al tempo. Successivamente, utilizza chiamate API costruite dinamicamente sullo stack per allocare lo spazio di memoria necessario per le autorizzazioni di lettura/scrittura ed esecuzione. Ciò rende più difficile il rilevamento. StopCrypt utilizza chiamate API per varie operazioni, inclusa l'acquisizione di snapshot dei processi in esecuzione per comprendere l'ambiente in cui opera. La fase successiva prevede lo svuotamento dei processi, in cui StopCrypt dirotta processi legittimi e inietta il suo payload in memoria per un'esecuzione discreta. Ciò avviene attraverso una serie di chiamate API attentamente orchestrate che manipolano la memoria del processo e il flusso di controllo.

Una volta eseguito il payload finale, vengono eseguite varie azioni per garantire la persistenza del ransomware, modificare le liste di controllo degli accessi (ACL) per negare agli utenti il ​​permesso di eliminare file e directory malware importanti e viene creata un'attività pianificata per eseguire il payload ogni cinque minuti. I file vengono crittografati e ai nuovi nomi viene aggiunta l'estensione “.msjd”. Tuttavia, va notato che esistono centinaia di estensioni legate al ransomware STOP. Infine, in ogni cartella colpita viene creata una richiesta di riscatto denominata “_readme.txt”. Questa fornisce alle vittime istruzioni su come pagare il riscatto per il recupero dei dati. L’evoluzione di StopCrypt in una minaccia più furtiva e potente sottolinea una tendenza preoccupante nel crimine informatico. Le richieste monetarie di StopCrypt non sono elevate e i suoi operatori non eseguono furti di dati. Tuttavia, il danno che può causare a molte persone potrebbe essere significativo.