La banda di ransomware Makop è un attore di ransomware di livello secondario che è operativo dal 2020.
Il ricercatore di sicurezza informatica Luca Mella ha condiviso approfondimenti tecnici sul ransomware Makop che raggiunge la persistenza attraverso strumenti .NET dedicati.
Nonostante la sua bassa classificazione, l’attore di minacce ha preso di mira con successo le aziende in Europa e in Italia con il suo arsenale ibrido di sviluppato su misura e pronto all’uso strumenti software. In questo articolo, diamo un’occhiata più da vicino ad alcuni dei dettagli tecnici dell’arsenale di Makop ransomware.
Cosa è stato scoperto?
È stato scoperto che la banda di ransomware Makop utilizza una serie di strumenti sviluppati su misura per eseguire i propri attacchi.
- Tra questi c’è uno strumento chiamato ARestore che è stato creato nel 2020 e parzialmente offuscato.
- Questo strumento genera elenchi combinati di nomi utente Windows locali e potenziali password e li verifica localmente.
- I truffatori lo usano dopo la fase di accesso iniziale della loro catena di attacco.
- Inoltre, gli operatori sfruttano altri assembly .NET personalizzati, come PuffedUp, per raggiungere ulteriori fasi della kill chain.
- Questo particolare strumento è progettato per garantire la persistenza dopo l’accesso iniziale.
- Lo strumento si basa su un file di configurazione testuale posto nella stessa cartella, contenente una o più stringhe di 42 caratteri che verranno inserite negli appunti dell’utente.
Esternalizzare l’attacco
La banda di ransomware utilizza anche strumenti open source e freeware pronti all’uso per proseguire il movimento laterale e la scansione del sistema.
- Insieme all’abuso di strumenti Microsoft SysInternal come PsExec e altri noti strumenti open source come Putty e Mimikatz , Makop ha abusato di software ancora più peculiari.
- Ad esempio, gli aggressori hanno recentemente utilizzato Advanced Port Scanner e lo strumento Windows Everything.
- Un altro strumento unico utilizzato dal gruppo include uno strumento di amministrazione del sistema, soprannominato YDArk. È uno strumento open source disponibile su GitHub.
In sintesi
La banda di ransomware Makop ha a sua disposizione un arsenale di strumenti software sia sviluppati su misura che pronti all’uso.
L’uso di questi strumenti è una chiara indicazione delle tecniche in evoluzione che i criminali informatici utilizzano per condurre estorsioni digitali. Le organizzazioni devono adottare misure proattive per difendersi dagli attacchi di tipo ransomware Makop, mantenendo il software aggiornato e conducendo controlli di sicurezza regolari.