In un ambiente online in continua evoluzione, monitorare e combattere il malware ransomware è sempre stato impegnativo. I team di sicurezza di tutto il mondo stanno lottando per affrontare queste nuove minacce testa a testa, ma la complessità e la tenacia di alcuni malware a volte possono rendere inutili questi sforzi.
Una nuova variante di una botnet sta causando problemi alla rete
A settembre, mentre Phorpiex stava ancora seminando il caos, distribuiva una nuova variante di malware chiamata Twizt, che consente alla botnet di funzionare senza server di comando e controllo centralizzati.
La nuova e migliorata versione di Twizt Phorpiex ha un sistema di comando e controllo peer-to-peer che consente a diversi dispositivi infetti di trasmettersi comandi l’uno all’altro se i server di comando e controllo statici non erano attivi.
Ciò significa che ciascuno dei computer infetti può fungere da server e inviare comandi ad altri bot della catena. Vale anche la pena notare che l’ultima infrastruttura P2P consente anche agli operatori di modificare gli indirizzi IP dei server C2 principali secondo necessità, rimanendo nascosti all’interno di uno sciame di computer Windows infetti.
Se eri curioso anche di alcune delle nuove funzionalità fornite con questa nuova variante di Twizt, ha una modalità operativa peer-to-peer (no C2) e un controllo dell’integrità dei dati. È incluso anche un protocollo binario configurabile (TCP o UDP) con due livelli di crittografia RC4.
Inoltre, Twizt può anche caricare payload aggiuntivi tramite un elenco di URL e percorsi di base codificati o dopo aver ricevuto il comando appropriato dal server C2.
La botnet Phorpiex è monitorata da Microsoft
Al momento, Microsoft conduce indagini approfondite su questa botnet dannosa.
Nonostante questo malware perseguiti Internet da un po’ di tempo, il servizio di sicurezza rivela nuovi dettagli su come viene distribuito e come funziona.
Secondo Microsoft, la botnet Phorpiex viene utilizzata per fornire ransomware e spam.
Anche l’attenzione della botnet sulla distribuzione e l’installazione di bot si è ampliata poiché attività recenti indicano uno spostamento verso una distribuzione più globale. Le statistiche confermano che Phorpiex è ora presente in più di 160 paesi.
Uno dei motivi principali per cui Microsoft sta mostrando interesse per Phorpiex è perché il bot disabilita l’antivirus Microsoft Defender per mantenere la persistenza sui dispositivi mirati.
Ciò include la modifica delle chiavi di registro per disabilitare i popup o le funzionalità firewall e antivirus, l’override delle impostazioni del proxy e del browser, l’impostazione del bootloader e degli eseguibili per l’esecuzione all’avvio e l’aggiunta di questi eseguibili all’elenco delle applicazioni autorizzate.
Perché Forpex è pericoloso?
È noto che la botnet Phorpiex è stata utilizzata per distribuire malware come il ransomware GandCrab e Avaddon o per truffe di sextortion.
Secondo Microsoft, il ransomware Avaddon è in grado di eseguire controlli linguistici e regionali per la Russia o l’Ucraina prima del lancio per garantire che si rivolga solo a determinate regioni.
A quanto pare, Avaddon in genere richiede un riscatto in bitcoin di circa $ 700. Questo è un prezzo enorme da pagare solo per non proteggere il tuo computer.
Come posso proteggermi da Phorpiex?
Il primo e più importante consiglio è di non scaricare contenuti o applicazioni non sicuri che non sono stati sviluppati da un’azienda fidata. Puoi anche proteggerti limitando le persone che hanno accesso al tuo computer e alle informazioni riservate.
Un altro modo per prevenire questi tentativi consiste nell’abilitare Microsoft Defender Endpoint Tamper Protection, che è la funzionalità di sicurezza cloud avanzata di Microsoft.
Questa opzione annullerà automaticamente tutte le modifiche che il bot cerca costantemente di apportare sul tuo computer. Quali altre misure stai adottando per evitare di cadere vittima di attacchi ransomware? Raccontaci la tua esperienza nella sezione commenti qui sotto.
Lascia un commento