I gruppi di Ransomware utilizzano lo Shanya EXE packer per nascondere gli EDR killers

Titolo: I Gruppi di Ransomware Utilizzano il Servizio di Packer Shanya per Evitare la Rilevazione

I gruppi di ransomware stanno utilizzando un servizio di packer-as-a-service chiamato Shanya per aiutare a distribuire payload che disabilitano le soluzioni di rilevamento e risposta degli endpoint sui sistemi delle vittime. Il servizio di packer fornisce agli attaccanti strumenti specializzati per impacchettare i loro payload in modo da oscurare il codice maligno e evitare la rilevazione da parte della maggior parte degli strumenti di sicurezza e dei motori antivirus noti.

Il servizio di packer Shanya è emerso alla fine del 2024 e ha guadagnato popolarità in modo significativo, con campioni di malware che lo utilizzano stati rilevati in Tunisia, Emirati Arabi Uniti, Costa Rica, Nigeria e Pakistan, secondo i dati di telemetria di Sophos Security. Tra i gruppi di ransomware confermati per averlo utilizzato ci sono Medusa, Qilin, Crytox e Akira, con quest’ultimo che utilizza il servizio di packer più frequentemente.

Il servizio Shanya funziona inviando i payload maligni ai clienti, che vengono restituiti con un wrapper personalizzato utilizzando crittografia e compressione. Il servizio promuove la singolarità dei payload risultanti, evidenziando il “caricamento non standard dei moduli nella memoria, wrapper sul loader di sistema Stub univoco”, con “ogni cliente che riceve il proprio stub univoco con un algoritmo di crittografia univoco all’acquisto”. I ricercatori di Sophos hanno scoperto che Shanya esegue controlli per le soluzioni di rilevamento e risposta degli endpoint (EDR) chiamando la funzione ‘RtlDeleteFunctionTable’ in un contesto non valido.