I ricercatori di Avast hanno recentemente scoperto una vulnerabilità significativa nello schema crittografico del ransomware DoNex e dei suoi predecessori. Collaborando con le forze dell’ordine, Avast ha fornito in silenzio un decryptor alle vittime di DoNex ransomware sin da marzo 2024. La debolezza crittografica è stata resa pubblica alla conferenza Recon 2024, permettendo ora di discutere apertamente di queste scoperte.

Storia e evoluzione di DoNex ransomware

Il ransomware DoNex ha subito diversi rebranding dal suo primo avvistamento come Muse nel 2022. Successivamente, è stato ribattezzato come una falsa versione di LockBit 3.0 e poi come DarkRace, per poi arrivare alla versione finale chiamata DoNex nel 2024. Le diverse versioni di questo ransomware hanno tutte seguito un’evoluzione simile, ma con alcune variazioni nei metodi di attacco e crittografia. Dal momento che non sono stati rilevati nuovi campioni da aprile 2024 e il sito TOR del ransomware è inattivo, sembra che DoNex abbia cessato di evolversi.

Schema di Crittografia del Ransomware

DoNex utilizza un approccio sofisticato per crittografare i file delle vittime. Durante l’esecuzione del ransomware, viene generata una chiave di crittografia tramite la funzione CryptGenRandom(). Questa chiave viene utilizzata per inizializzare un algoritmo ChaCha20 a chiave simmetrica, che crittografa i file. Successivamente, la chiave di file simmetrica viene crittografata con RSA-4096 e apposta alla fine del file crittografato.

I file sono crittografati in base alle loro estensioni, che sono elencate nella configurazione XML del ransomware. I file piccoli, fino a 1 MB, vengono crittografati interamente, mentre per i file più grandi viene utilizzata una crittografia intermittente, suddividendo il file in blocchi e crittografandoli separatamente.

Configurazione del Ransomware

I campioni del ransomware DoNex e delle sue versioni precedenti contengono configurazioni XOR criptate, che includono estensioni e file da escludere, servizi da terminare e altre informazioni rilevanti per la crittografia. Un esempio di configurazione include whitelist di estensioni e file, cartelle da escludere, servizi da terminare e thread di crittografia.

Come identificare un attacco DoNex

Il modo più semplice per identificare un attacco da parte del ransomware DoNex è attraverso la nota di riscatto. Ogni versione del ransomware, nonostante i diversi nomi, include una nota di riscatto simile. Di seguito sono riportati esempi delle note di riscatto per le diverse versioni del ransomware.

Utilizzare il Decryptor di DoNex

1. Download: Scarica il decryptor da qui.
2. Esecuzione: Esegui il file eseguibile come amministratore, avviando una procedura guidata per configurare il processo di decrittazione.
3. Configurazione: Seleziona le posizioni (drive, cartelle, file) da decrittare. Fornisci esempi di file nella loro forma originale e crittografata.
4. Cracking della Password: Inizia il processo di cracking della password, che richiede una notevole quantità di memoria di sistema.
5. Decrittazione: Decritta tutti i file crittografati sul tuo PC.

La scoperta della vulnerabilità crittografica del ransomware DoNex da parte di Avast rappresenta un passo importante nella lotta contro il ransomware. La possibilità di decrittare i file senza pagare il riscatto è una vittoria significativa per le vittime di questi attacchi.

Apple ha recentemente rilasciato le terze versioni beta di iOS 18, visionOS 2, watchOS 11 e tvOS 18 per sviluppatori, introducendo nuove funzionalità e miglioramenti per migliorare l’esperienza utente sui vari dispositivi Apple.

iOS 18 Beta 3

La terza beta di iOS 18 introduce “Apple Intelligence“, un insieme di funzionalità AI profondamente integrate nel sistema operativo. Queste includono strumenti per la raffinazione e l’editing di testi, la generazione di immagini ed emoji, e miglioramenti significativi per Siri. Siri ora ha una migliore comprensione del linguaggio naturale, una maggiore consapevolezza contestuale e integra ChatGPT per rispondere a domande più complesse.

iOS 18 consente anche di riorganizzare le app sulla schermata Home per avere spazi vuoti, introduce una modalità scura per le icone delle app e opzioni di tinta, e rende il Centro di Controllo personalizzabile. Inoltre, i messaggi supportano Rich Communication Services (RCS) per migliorare le conversazioni con utenti Android e includono opzioni per programmare l’invio di testi, nuovi effetti di testo e la possibilità di inviare messaggi via satellite in assenza di segnale cellulare.

visionOS 2 Beta 3

La terza beta di visionOS 2 permette di trasformare foto 2D in foto 3D utilizzando l’apprendimento automatico avanzato, aggiungendo profondità per rendere i ricordi più immersivi. Sono stati introdotti nuovi gesti per attivare la Home View e il Centro di Controllo, con la possibilità di personalizzare la Home View. Modalità Viaggio ora supporta i treni, e i profili utenti ospiti vengono salvati per 30 giorni, evitando di dover ripetere il processo di configurazione. Inoltre, il display virtuale del Mac supporterà risoluzioni più elevate e dimensioni maggiori equivalenti a due monitor 4K affiancati.

watchOS 11 Beta 3

watchOS 11 introduce una nuova app Vitals che aggrega metriche di salute raccolte durante il sonno, fornendo approfondimenti quotidiani. È stata aggiunta la funzionalità Training Load per monitorare l’intensità degli allenamenti. La Smart Stack è stata aggiornata con nuovi widget e supporto per le Live Activities e Translate, e ora può suggerire widget basati su routine giornaliere. Gli anelli di attività possono essere personalizzati per cambiare gli obiettivi giornalieri, con la possibilità di fare pause per giorni di riposo o malattia senza perdere la continuità.

tvOS 18 Beta 3

tvOS 18 introduce la funzionalità InSight nell’app TV, fornendo informazioni in tempo reale su attori, musica e altro nei programmi e nei film di Apple TV+. Il dialogo migliorato è stato affinato con l’apprendimento automatico e l’audio computazionale per migliorare la chiarezza vocale rispetto ai rumori di fondo, ed è disponibile su altoparlanti integrati, AirPods e altri dispositivi Bluetooth. Inoltre, i sottotitoli verranno mostrati automaticamente quando rilevanti, come quando il volume della TV è disattivato o quando la lingua di uno spettacolo non corrisponde a quella del dispositivo.

Le nuove versioni beta dei sistemi operativi Apple portano miglioramenti significativi e nuove funzionalità progettate per ottimizzare l’esperienza utente su iPhone, iPad, Apple Watch e Apple TV. Con questi aggiornamenti, Apple continua a spingere i confini dell’innovazione, integrando intelligenza artificiale e miglioramenti basati sull’apprendimento automatico in tutti i suoi dispositivi.

Negli ultimi mesi, due nuove campagne di minacce avanzate persistenti (APT) sono state scoperte e dettagliate da ricercatori di sicurezza informatica. Questi attori, noti come CloudSorcerer e CloudWizard, utilizzano infrastrutture cloud per condurre operazioni di cyberespionaggio sofisticate, prendendo di mira principalmente enti governativi e organizzazioni in aree di conflitto.

CloudSorcerer: nuovo attore APT

CloudSorcerer è un nuovo APT scoperto a maggio 2024, che prende di mira entità governative russe. Utilizza strumenti di cyberespionaggio avanzati per il monitoraggio furtivo, la raccolta dati e l’esfiltrazione tramite infrastrutture cloud come Microsoft Graph, Yandex Cloud e Dropbox. Il malware impiega risorse cloud come server di comando e controllo (C2), accedendo tramite API con token di autenticazione.

Il malware CloudSorcerer opera in moduli separati (modulo di comunicazione, modulo di raccolta dati) a seconda del processo in cui viene eseguito. Tra le tecniche utilizzate vi sono l’iniezione di shellcode nei processi di sistema e la comunicazione attraverso named pipes di Windows. CloudSorcerer utilizza GitHub come primo server C2, scaricando pagine web che contengono comandi codificati da eseguire.

Le funzionalità principali includono:

• Raccolta di informazioni sul sistema della vittima.
• Esecuzione di comandi shell.
• Manipolazione di file (copia, spostamento, eliminazione).
• Iniezione di shellcode e PE file nei processi remoti.

Questa sofisticata infrastruttura consente a CloudSorcerer di operare in modo altamente furtivo e di esfiltrare dati sensibili senza essere rilevato.

CloudWizard: Campagna APT nel Conflitto Russo-Ucraino

CloudWizard, scoperto a marzo 2023, è una campagna APT che ha preso di mira sia individui che organizzazioni diplomatiche e di ricerca nelle regioni di Donetsk, Lugansk, Crimea, nonché in altre parti dell’Ucraina. Questo attore utilizza un framework modulare che comprende funzioni come screenshot, registrazione del microfono e keylogging.

La campagna CloudWizard coinvolge l’uso di moduli come PowerMagic e CommonMagic, e presenta caratteristiche comuni con operazioni precedenti come Operation Groundbait. Il malware impiega tecniche di crittografia avanzate per le comunicazioni, utilizzando RSA e AES per proteggere i dati scambiati con i server C2.

CloudWizard utilizza vari moduli per:

• Raccolta di file e registrazioni audio.
• Esecuzione di keylogger.
• Esecuzione di screenshot.
• Estrazione di informazioni da account Gmail.

Queste campagne scoperte da Kaspersky evidenziano l’evoluzione continua degli strumenti di cyberspionaggio utilizzati dagli attori APT nell’area di conflitto russo-ucraina.

Le campagne CloudSorcerer e CloudWizard dimostrano come gli attori APT stiano adottando tecniche sempre più sofisticate, sfruttando le infrastrutture cloud per le loro operazioni. Queste tecniche permettono un’elevata furtività e un’efficace esfiltrazione di dati sensibili. La continua evoluzione di queste minacce richiede un approccio proattivo e multistrato alla sicurezza informatica per proteggere le organizzazioni da questi attacchi avanzati.