Una Nuova Evoluzione nel Cybercrime: Nasce ShinySp1d3r, il RaaS del Super-Collettivo

Il panorama della sicurezza informatica è scosso da una nuova e sofisticata minaccia che segna un punto di svolta nel mondo del ransomware. Tre dei gruppi di cybercriminali più tristemente noti per attacchi di alto profilo – ShinyHunters, Scattered Spider e Lapsus$ – hanno unito le loro forze per formare un'alleanza senza precedenti, battezzata "Scattered Lapsus$ Hunters".

Questa collaborazione ha dato vita a ShinySp1d3r, una piattaforma di Ransomware-as-a-Service (RaaS) che rappresenta un significativo cambio di strategia per i suoi membri. Invece di affidarsi a strumenti di crittografia di altre gang (come ALPHV/BlackCat o Qilin), il collettivo ha sviluppato un encryptor proprietario, completamente nuovo.

L'attività di ShinySp1d3r è stata inizialmente notata su canali Telegram, dove i criminali hanno lanciato campagne di estorsione sfruttando dati sottratti a grandi aziende come Salesforce e Jaguar Land Rover. La scoperta di un campione del nuovo malware su VirusTotal ha permesso ai ricercatori di sicurezza di analizzarne in dettaglio le caratteristiche tecniche.

Cos'è il Ransomware-as-a-Service (RaaS)

Il RaaS è un modello di business criminale che ha alimentato la crescita esponenziale degli attacchi ransomware negli ultimi anni.  Funziona come un servizio cloud legittimo, in cui gli operatori (gli sviluppatori) creano e mantengono il software malevolo, offrendolo in affitto o vendita a affiliati.

Gli affiliati, spesso privi delle competenze tecniche per sviluppare un proprio encryptor, pagano una quota o condividono una percentuale sui riscatti ottenuti. Gli operatori RaaS forniscono un pacchetto completo: software di crittografia, pannelli di controllo per le campagne, portali di pagamento e persino assistenza tecnica. Gli affiliati, invece, si concentrano sulla distribuzione del ransomware (tramite phishing o exploit) e sulla negoziazione con le vittime. Questo sistema ha di fatto abbattuto le barriere all'ingresso nel cybercrime, rendendo gli attacchi sofisticati accessibili a chiunque.

Le Sofisticate Funzionalità dell'Encryptor ShinySp1d3r

L'encryptor per Windows sviluppato da ShinySp1d3r si distingue per una serie di funzionalità avanzate che lo rendono particolarmente difficile da contrastare, secondo le analisi della società di recupero dati Coveware.

1. Evasione e Crittografia Efficiente: Il malware utilizza tecniche di evasione come l'hook della funzione $EtwEventWrite$ per prevenire la registrazione degli eventi di sicurezza di Windows. È inoltre capace di terminare i processi in corso per garantire la crittografia di tutti i file aperti.

2. Impossibilità di Recupero: Per ostacolare il recupero, ShinySp1d3r sovrascrive i file eliminati con dati casuali, rendendo i tentativi di recupero dati praticamente vani.

3. Algoritmi Cifratura Robusti: L'algoritmo di crittografia scelto è ChaCha20, con la chiave di decrittazione protetta dall'algoritmo asimmetrico RSA-2048. Ogni file crittografato riceve un'estensione unica generata matematicamente e contiene un'intestazione specifica ("SPDR" all'inizio e "ENDS" alla fine) con metadati vitali.

La Preoccupante Capacità di Propagazione

Un elemento di grande allarme per le reti aziendali è la sua aggressiva capacità di diffusione interna. Il nuovo encryptor è specificamente progettato per propagarsi rapidamente sui dispositivi collegati alla rete locale aziendale, utilizzando tre metodi distinti:

• Creazione di servizi tramite deployViaSCM.

• Esecuzione remota via WMI con Win32_Process.Create

• Distribuzione tramite script di avvio GPO.

Inoltre, il malware cerca attivamente host con condivisioni di rete aperte per massimizzare il numero di sistemi compromessi. L'implementazione di tecniche anti-analisi (come la sovrascrittura del contenuto della memoria) ostacola ulteriormente le indagini forensi e impedisce il ripristino dai backup di Windows.

Le vittime vengono avvisate tramite un wallpaper di Windows sostituito e ricevono una nota di riscatto che stabilisce un termine di tre giorni per l'avvio delle negoziazioni, prima che i dati rubati vengano pubblicati sul sito di leak ospitato sulla rete Tor.