• CHI SIAMO
  • CONTATTI
  • PRIVACY
Arena Digitale
  • HOME
  • PAGAMENTI DIGITALI
  • NEWS
    • Tutti
    • Blockchain
    • Circuito etico
    • Consumatori
    • Criptovalute
    • Cultura Digitale
    • Digital Politics
    • Economia e Finanza
    • Fintech
    • Industria 4.0
    • Intelligenza Artificiale
    • New Trend e Millennians
    • Over the top
    • PA
    • Pagamenti Digitali
    • Sicurezza
    • Smart City
    • Start-up
    • Turismo

    Stati Uniti: PIL in calo dello 0,2% nel primo trimestre 2025

    Mastercard For Fintechs: appuntamento il 10 giugno per scoprire la fintech italiana vincitrice

    Mastercard For Fintechs: appuntamento il 10 giugno per scoprire la fintech italiana vincitrice

    Rinnovato il protocollo d’intesa tra l’Arma dei Carabinieri e Poste Italiane S.p.a.

    Rinnovato il protocollo d’intesa tra l’Arma dei Carabinieri e Poste Italiane S.p.a.

    24ORE Business School per l’hospitality che cambia: nuove competenze tra eventi, turismo e sostenibilità

    24ORE Business School per l’hospitality che cambia: nuove competenze tra eventi, turismo e sostenibilità

    Confagricoltura all’evento di Ispi: Giansanti, “Dall”Ue basta promesse. Pragmatismo per tornare potenza produttiva”

    Confagricoltura all’evento di Ispi: Giansanti, “Dall”Ue basta promesse. Pragmatismo per tornare potenza produttiva”

    Amazon assieme all’Università di Oxford per l’IA

    GenAI può aumentare i margini aziendali fino al 15% in Italia. L’analisi di Deloitte

    Trending Tags

    • pagamenti digitali
  • FORMAZIONE
  • EVENTI
  • VIDEO
  • JOBS
Nessun Risultato
Visualizza tutti i risultati
Arena Digitale
  • HOME
  • PAGAMENTI DIGITALI
  • NEWS
    • Tutti
    • Blockchain
    • Circuito etico
    • Consumatori
    • Criptovalute
    • Cultura Digitale
    • Digital Politics
    • Economia e Finanza
    • Fintech
    • Industria 4.0
    • Intelligenza Artificiale
    • New Trend e Millennians
    • Over the top
    • PA
    • Pagamenti Digitali
    • Sicurezza
    • Smart City
    • Start-up
    • Turismo

    Stati Uniti: PIL in calo dello 0,2% nel primo trimestre 2025

    Mastercard For Fintechs: appuntamento il 10 giugno per scoprire la fintech italiana vincitrice

    Mastercard For Fintechs: appuntamento il 10 giugno per scoprire la fintech italiana vincitrice

    Rinnovato il protocollo d’intesa tra l’Arma dei Carabinieri e Poste Italiane S.p.a.

    Rinnovato il protocollo d’intesa tra l’Arma dei Carabinieri e Poste Italiane S.p.a.

    24ORE Business School per l’hospitality che cambia: nuove competenze tra eventi, turismo e sostenibilità

    24ORE Business School per l’hospitality che cambia: nuove competenze tra eventi, turismo e sostenibilità

    Confagricoltura all’evento di Ispi: Giansanti, “Dall”Ue basta promesse. Pragmatismo per tornare potenza produttiva”

    Confagricoltura all’evento di Ispi: Giansanti, “Dall”Ue basta promesse. Pragmatismo per tornare potenza produttiva”

    Amazon assieme all’Università di Oxford per l’IA

    GenAI può aumentare i margini aziendali fino al 15% in Italia. L’analisi di Deloitte

    Trending Tags

    • pagamenti digitali
  • FORMAZIONE
  • EVENTI
  • VIDEO
  • JOBS
Nessun Risultato
Visualizza tutti i risultati
Arena Digitale
Nessun Risultato
Visualizza tutti i risultati
Home News Sicurezza

Acn: rilevata la distribuzione del malware INC. Ecco di cosa si tratta

15 Aprile 2025
in Sicurezza
A A
0
Europa digitale indipendente: principali cloud provider europei uniscono le forze per definire un nuovo standard API aperto
Condividi su FacebookCondividi su TwitterCondividi su WhatsappCondividi su Linkedin

Recentemente è stato rilevato un attacco informatico che sfrutta il malware INC, un ransomware che funziona come un servizio (RaaS) e che è emerso intorno a luglio 2023. Questo malware ha preso di mira diverse organizzazioni nel nostro Paese.

In genere, l’attacco ha inizio quando i criminali informatici riescono ad accedere ai sistemi delle vittime, solitamente attraverso il brute-forcing. Questo accade quando le interfacce di gestione dei sistemi sono esposte direttamente su Internet senza protezione tramite autenticazione a più fattori (MFA) sugli account amministrativi. In alternativa, gli attaccanti sfruttano vulnerabilità note su sistemi di sicurezza periferici che non sono stati aggiornati correttamente.

Una volta ottenuto l’accesso, gli hacker possono estrarre informazioni sensibili, come le configurazioni dei sistemi di gestione degli accessi (IAM), che contengono credenziali valide. Queste credenziali vengono poi utilizzate per muoversi lateralmente all’interno dell’infrastruttura aziendale e diffondere il malware in altri sistemi. Ma di cosa si tratta in particolare? Vediamolo insieme.

Gli attaccanti accedono inizialmente ai sistemi sfruttando due tecniche principali:

  • Password spraying tramite botnet: gli hacker utilizzano una rete di dispositivi compromessi per provare una serie di password comuni su molteplici account amministrativi. Questa tecnica è progettata per evitare il rilevamento da parte dei meccanismi di sicurezza, poiché i tentativi di accesso vengono distribuiti su diversi dispositivi
  • Sfruttamento di vulnerabilità note: in alcuni casi, gli attaccanti approfittano di vulnerabilità di sicurezza presenti su dispositivi con software non aggiornato. Questo permette di bypassare le misure di autenticazione e di ottenere l’accesso al sistema, spesso senza che l’azienda si accorga dell’intrusione

    Una volta ottenuto l’accesso, gli hacker sono in grado di estrarre configurazioni dei sistemi di gestione degli accessi (IAM), il che consente di recuperare credenziali valide che possono essere utilizzate per spostarsi lateralmente nella rete aziendale e installare il malware su altri dispositivi.

    Dopo aver ottenuto l’accesso ad una macchina Windows, l’attaccante può utilizzare strumenti come Advanced IP Scanner per eseguire una scansione della rete locale, identificando dispositivi attivi e relativi indirizzi IP. Una volta individuati i dispositivi, il tool Impacket SMBExec viene utilizzato per eseguire comandi remoti tramite il protocollo SMB su macchine vulnerabili.

    L’attaccante prosegue poi con l’esecuzione del comando quser, uno strumento di Windows che permette di visualizzare le sessioni utente attive e identificare account con privilegi elevati. Successivamente, viene eseguito un dump della memoria del processo lsass.exe, che gestisce l’autenticazione su Windows, per estrarre le credenziali degli utenti. Utilizzando Mimikatz, un noto strumento di post-exploitation, l’attaccante estrae e raccoglie gli hash delle credenziali di utenti locali e di dominio con privilegi elevati.

    Una volta ottenuto l’accesso completo alla rete e una mappatura delle risorse, l’attaccante individua i servizi contenenti dati sensibili e li seleziona come obiettivi per la cifratura tramite ransomware. Il ransomware INC viene quindi distribuito utilizzando nuovamente Impacket SMBExec e viene eseguito tramite un file win.exe.

    Il ransomware è scritto principalmente in Visual Basic 6 e C/C++, e al suo avvio accetta diversi parametri di utilizzo, tra cui:

    • –file <FILE>: cifra solo il file specificato
    • –dir <DIRECTORY>: cifra i file in una directory
    • –mode <MODE>: modalità di cifratura che può essere
      • fast: velocità massima, cifratura parziale
      • medium: compromesso tra velocità e profondità di cifratura
      • slow: cifratura completa, più lenta ma più efficace
    • –ens: estende la cifratura alle condivisioni di rete
    • –lhd: carica anche le unità nascoste del sistema
    • –sup: arresta determinati processi per sbloccare file in uso
    • –hide: nasconde la finestra di console durante l’esecuzione
    • –kill: termina determinati processi o servizi
    • –debug: abilita la modalità di debug

    Un parametro non documentato, –safe-mode, crea una persistenza nel sistema registrando un servizio chiamato dmksvc, configurato per eseguire il ransomware automaticamente. In seguito, il sistema viene riavviato in modalità provvisoria, probabilmente per evadere i controlli di sicurezza in modalità normale.

    Il ransomware inizia a cifrare i dati circa un minuto dopo l’esecuzione, utilizzando cicli di attesa per evitare rilevamenti da parte di sistemi di analisi automatica. Durante l’esecuzione, il malware esegue una serie di operazioni per evitare l’identificazione da parte degli analisti, tra cui:

    • Verifica la presenza di debugger per evitare di essere studiato in ambienti di analisi
    • Raccolta di informazioni di sistema, come configurazioni hardware e software installato, per adattare l’attacco
    • Disattivazione dei log di tracciamento per rendere più difficile l’individuazione delle attività del malware
    • Eliminazione delle copie shadow dei file, impedendo il recupero dei dati tramite backup
    • Rimozione dei punti di ripristino di sistema, ostacolando ulteriormente il recupero dei dati

    La fase di cifratura utilizza l’algoritmo AES-128 con una chiave simmetrica generata casualmente tramite la funzione CryptGenRandom. La chiave AES viene poi cifrata con l’algoritmo RSA utilizzando una chiave pubblica incorporata nel codice del malware.

    Il ransomware utilizza una tecnica nota come “double extortion”: non solo i file vengono cifrati, ma i dati sensibili vengono anche esfiltrati e minacciati di essere pubblicati se il riscatto non viene pagato. Dopo la cifratura, viene generata una nota di riscatto che include un ID univoco per identificare la vittima e le istruzioni per contattare gli attaccanti e ottenere il decryptor. Questa nota di riscatto viene archiviata sia in un file immagine che in un file HTML e viene visualizzata modificando lo sfondo del desktop e aprendo il file HTML tramite Internet Explorer.

    Nel contesto dell’esfiltrazione, il malware ha utilizzato un tool legittimo di backup, rclone, e file di configurazione per il servizio di file sharing MEGA, probabilmente per esfiltrare i dati sensibili prima di procedere con la cifratura. Per mantenere l’accesso remoto, è stato inoltre rilevato l’uso del tool AnyDesk, un programma di Remote Desktop Management. In conclusione, questo attacco ha seguito un processo ben pianificato, che ha combinato l’accesso non autorizzato, l’esfiltrazione dei dati, la cifratura dei file e la minaccia di pubblicazione dei dati, sfruttando tecniche avanzate per eludere i controlli di sicurezza e mantenere l’accesso alle macchine compromesse.

    Tags: acnincmalwaremalware INCsicurezza
    ShareTweetSendShare

    Ricevi aggiornamenti in tempo reale sulle categorie di questo post direttamente sul tuo dispositivo, iscriviti ora.

    Interrompi le notifiche

    Relativi Post

    Sicurezza

    Frodi d’identità in aumento nel 2025, +10% nei primi tre mesi dell’anno. I dati di Experian

    28 Maggio 2025

    Nel primo trimestre del 2025, il fenomeno delle frodi d’identità ha mostrato un preoccupante aumento, come riportato dai nuovi dati...

    Leggi ancora
    Google aggiorna app pagamenti, farà aprire conti bancari

    Violazione dei dati rivela le password di Google e di altri giganti della tecnologia

    28 Maggio 2025
    Truffa Milionaria: La Zecca dello Stato ha inviato in Ungheria 3 milioni di Euro in una truffa BEC

    Cybersecurity 2025: attacchi in crescita del 54% nel primo trimestre. Il report dell’Osservatorio di Exprivia

    28 Maggio 2025
    Hacktivismo: l’Italia è stato il quinto Paese più colpito nel 2024

    Hacktivismo: l’Italia è stato il quinto Paese più colpito nel 2024

    28 Maggio 2025
    Arena Digitale

    Seguici anche su

    info@arenadigitale.it

    ISCRIVITI ALLA NEWSLETTER

      L'ESPERTO RISPONDE

      LINK

      A.P.S.P.

      • CHI SIAMO
      • CONTATTI
      • PRIVACY
      ARENA DIGITALE  -  CF. P.Iva 17134791007 -
      Iscritto al Tribunale di Roma N. 166 - 5/12/2019

      Welcome Back!

      Login to your account below

      Forgotten Password?

      Retrieve your password

      Please enter your username or email address to reset your password.

      Log In

      Add New Playlist

      Gestisci Consenso Cookie
      Usiamo cookie per ottimizzare il nostro sito web ed i nostri servizi.
      Funzionale Sempre attivo
      L'archiviazione tecnica o l'accesso sono strettamente necessari al fine legittimo di consentire l'uso di un servizio specifico esplicitamente richiesto dall'abbonato o dall'utente, o al solo scopo di effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica.
      Preferenze
      L'archiviazione tecnica o l'accesso sono necessari per lo scopo legittimo di memorizzare le preferenze che non sono richieste dall'abbonato o dall'utente.
      Statistiche
      L'archiviazione tecnica o l'accesso che viene utilizzato esclusivamente per scopi statistici. L'archiviazione tecnica o l'accesso che viene utilizzato esclusivamente per scopi statistici anonimi. Senza un mandato di comparizione, una conformità volontaria da parte del vostro Fornitore di Servizi Internet, o ulteriori registrazioni da parte di terzi, le informazioni memorizzate o recuperate per questo scopo da sole non possono di solito essere utilizzate per l'identificazione.
      Marketing
      L'archiviazione tecnica o l'accesso sono necessari per creare profili di utenti per inviare pubblicità, o per tracciare l'utente su un sito web o su diversi siti web per scopi di marketing simili.
      Gestisci opzioni Gestisci servizi Gestisci {vendor_count} fornitori Per saperne di più su questi scopi
      Preferenze
      {title} {title} {title}
      Nessun Risultato
      Visualizza tutti i risultati
      • HOME
      • PAGAMENTI DIGITALI
      • NEWS
        • Pagamenti Digitali
        • Blockchain
        • Intelligenza Artificiale
        • Criptovalute
        • Fintech
        • Over the top
        • PA
        • Consumatori
        • New Trend e Millennians
        • Turismo
        • Industria 4.0
        • Sicurezza
        • Digital Politics
        • Circuito etico
        • Cultura Digitale
        • Economia e Finanza
      • FORMAZIONE
      • REGULATION
      • EVENTI
      • VIDEO
      This website uses cookies. By continuing to use this website you are giving consent to cookies being used. Visit our Privacy and Cookie Policy.