Conti, il ransomware che usa fino a 32 thread per cifrare i file più rapidamente

Conti, il ransomware che usa fino a 32 thread per cifrare i file più rapidamente

I ricercatori di sicurezza di Carbon Black hanno sviscerato un ransomware chiamato Conti, capace di cifrare file specifici ad alta velocità grazie alla capacità di sfruttare fino a 32 thread della CPU contemporaneamente.

di pubblicata il , alle 14:41 nel canale Sicurezza
 

Si chiama Conti, ed è un ransomware capace di usare fino a 32 thread della CPU contemporaneamente per cifrare i file sui PC infettati ad altissima velocità. Ne parla Zdnet, citando i ricercatori di sicurezza di Carbon Black che hanno pubblicato un report dettagliato a questo indirizzo.

Proprio come la maggior parte delle famiglie di ransomware attuali, Conti è stato progettato per essere controllato direttamente da un malintenzionato, piuttosto che eseguirsi automaticamente da solo. In genere si parla di "human-operated ransomware" ovvero "ransomware gestiti dall'uomo" e sono progettati per essere installati durante intrusioni mirate in grandi reti aziendali o governative.

I primi segnali dell'esistenza di Conti risalgono a febbraio, ma ora secondo la Threat Analysis Unit (TAU) di Carbon Black il ransomware ha iniziato a colpire su più ampia scala. Conti si comporta come la maggior parte dei ransomware, ma ha anche le sue caratteristiche peculiari.

Secondo i ricercatori di Carbon Black, la cosa più interessante emersa durante l'analisi del codice di Conti è in grado di sfruttare più thread: di per sé non sarebbe una novità, anche altri ransomware sono in grado di farlo, il punto è che Conti è in grado di usare 32 thread, una caratteristiche che lo rende diverso dagli altri e che cerca di sfruttare le capacità delle sempre più diffuse CPU multi-core.

Un'altra caratteristica unica di Conti è che consente un controllo molto preciso sugli obiettivi da cifrare tramite un client da linea di comando, tanto da poter essere configurato per saltare i file crifrati sui dischi locali e crittografare dati condivisi su reti aziendali semplicemente dando al binario del ransomware una lista di indirizzi IP mediante riga di comando.

Un malintenzionato è quindi in grado di colpire in modo mirato, minando i tentativi di risposta anche grazie alla possibilità di passare inosservato per giorni o settimane, perché andando a cifrare solo determinati file non è detto che il problema emerga immediatamente a chi sta usando il sistema. Un'altra capacità di Conti è la capacità di abusare di Windows Restart Manager, un componente di Windows che sblocca i file prima di svolgere un riavvio del sistema operativo.

Secondo Carbon Black, Conti invoca questo componente per sbloccare e arrestare i processi dei software, in modo da poterne cifrare i dati. Questo comportamento può essere utile su server Windows in cui la maggior parte dei dati sensibili è in genere gestita da un database che è quasi sempre attivo e funzionante. Zdnet afferma che al momento non è possibile ripristinare i file bloccati tramite Conti, pertanto i metodi di prevenzione canonici (backup offline, ecc.) sono l'unica soluzione in caso di infezione.

8 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
386DX4009 Luglio 2020, 14:43 #1
Il mio 386DX a 40Mhz forse non deve preoccuparsi di esserne colpito..
YetAnotherNewBie09 Luglio 2020, 15:19 #2
Conti chi ?
Giuseppi ?

Poi, per tornare in possesso dei dati, bisogna compilare una autocertificazione che attesti di essere stato chiuso per 7 giorni in una villa toscana dopo aver convocato gli stati familiari ?
Saturn09 Luglio 2020, 15:30 #3
[COLOR="Silver"][I]I ricercatori di sicurezza di Carbon Black [/COLOR]hanno sviscerato [COLOR="Silver"]un ransomware chiamato[/COLOR] Conti,
[COLOR="Silver"]capace di cifrare file specifici ad alta velocità grazie alla capacità di sfruttare fino a 32 thread
della CPU contemporaneamente.[/COLOR][/I]

Poveraccio...adesso sviscerarlo, come si fa in cucina, mi pare un po' eccessivo. Il lockdown è stato duro...ma anche la magistratura ci è andata pesante 'sta volta !

Torniamo seri...cosa dire...tutto si evolve...anche questi programmi maledetti, che possa venire diarrea lancinante, improvvisa ma perpetua a chi li scrive e diffonde, tutto si evolve tranne la capoccia di qualche responsabile della sicurezza...i backup sono una faccenda seria, lo vogliamo capire ?!? Speriamo che Conti (il ramnsonware) non mieta troppe vittime...
Axios200609 Luglio 2020, 15:47 #4
Another new technique, documented in very few ransomware families, is the use of the Windows Restart Manager to ensure that all files can be encrypted. Just as Windows will attempt to cleanly shut down open applications when the operating system is rebooted,


Tanto per cambiare, attecchisce su Windows....
Saturn09 Luglio 2020, 15:50 #5
Originariamente inviato da: Axios2006
Tanto per cambiare, attecchisce su Windows....


Sai com'è....è il sistema operativo montato praticamente OVUNQUE...sarà anche una ciofeca come dici tu ormai da 10.000 post, ma se uno sceglie un obbiettivo d'attaccare, una gallina da spennare...lo sceglie mirato !
Anche se ci sono...che ti metti a fare il ramnsonware per quei quattro che usano il MacOSX ? Come se realizzassi il Jurassick Park per poi tenerlo chiuso il sabato, la domenica e nei festivi.

Claro hombre ?
Hasta la vista !
turcone09 Luglio 2020, 16:10 #6
Originariamente inviato da: Axios2006
Tanto per cambiare, attecchisce su Windows....


semplicemente quello è stato sviluppato per windows ma non preoccuparti ci sono anche per OSX e linux solo che di solito non ci fanno articoli dedicati dato che avrebbe poche view
Donagh09 Luglio 2020, 16:15 #7
"Anche se ci sono...che ti metti a fare il ramnsonware per quei quattro che usano il MacOSX ? Come se realizzassi il Jurassick Park per poi tenerlo chiuso il sabato, la domenica e nei festivi.
"

ahahahhahahahahahah
Saturn09 Luglio 2020, 16:24 #8
Originariamente inviato da: Donagh
ahahahhahahahahahah


Link ad immagine (click per visualizzarla)

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^