Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Gli EDR/AV vanno Offline con Killer Ultra! Il malware degli operatori ransomware di Qilin

Redazione RHC : 17 Luglio 2024 18:34

ARC Labs ha scoperto e analizzato un nuovo strumento utilizzato negli attacchi ransomware Qilin. Chiamato “Killer Ultra”, questo malware è progettato per disabilitare il popolare rilevamento e risposta alle minacce (EDR) e i software antivirus.

Gli esperti di ARC Labs hanno condotto analisi approfondite per comprendere la piena funzionalità di Killer Ultra e fornire informazioni tattiche sulle minacce alle organizzazioni. Durante l’analisi, è stato scoperto che Killer Ultra ottiene autorizzazioni a livello di kernel e prende di mira strumenti di sicurezza di marchi noti. Il programma cancella tutti i registri eventi di Windows e utilizza una versione vulnerabile del programma programma di sicurezza Zemana AntiLogger per terminare i processi in modo arbitrario.

I CVE-2024-1853 è una vulnerabilità in Zemana AntiLogger che consente agli aggressori di terminare i processi del software di sicurezza. Nel maggio 2023, un hacker conosciuto con lo pseudonimo di “SpyBoy” ha incluso questa vulnerabilità in uno strumento chiamato “Terminator” venduto sui forum di criminalità informatica.

Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)

Il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi (o persone di qualsiasi età) alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:

  • Creare Un Sistema Ai Di Visual Object Tracking (Hands on)
  • Social Engineering 2.0: Alla Scoperta Delle Minacce DeepFake
  • Doxing Con Langflow: Stiamo Costruendo La Fine Della Privacy?
  • Come Hackerare Un Sito WordPress (Hands on)
  • Il Cyberbullismo Tra Virtuale E Reale
  • Come Entrare Nel Dark Web In Sicurezza (Hands on)

  • Potete iscrivervi gratuitamente all'evento, che è stato creato per poter ispirare i ragazzi verso la sicurezza informatica e la tecnologia.
    Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


    Supporta RHC attraverso:


    Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

    All’avvio Killer Ultra utilizza il processo di sistema “notepad.exe” per nascondere la propria attività. Il malware sostituisce il componente di sistema NTDLL con la versione di “notepad.exe”. Ciò aiuta a nascondere le sue azioni ai programmi di sicurezza che potrebbero monitorare il sistema.

    NTDLL (NT Layer DLL) è una libreria di sistema Windows che fornisce un’interfaccia tra i programmi applicativi e il kernel del sistema operativo. Contiene molte funzioni necessarie per eseguire varie attività a livello di sistema operativo, come la gestione di processi, memoria e I/O.

    Una volta inizializzato, Killer Ultra carica una copia non interessata di NTDLL ed estrae il driver Zemana sul disco locale. Viene quindi avviato il servizio “StopGuard” che disabilita i processi di sicurezza elencati nel programma. Killer Ultra prende di mira prodotti come Symantec Antivirus, Microsoft Windows Defender e SentinelOne.

    Per impedire che gli strumenti di sicurezza vengano eseguiti nuovamente dopo il riavvio del sistema, Killer Ultra crea due attività pianificate: “Microsoft Security” e “Microsoft Maintenance”, che avviano il programma all’avvio del sistema.

    Killer Ultra utilizza anche l’utilità “wevtutil.exe” per cancellare i registri eventi di Windows, rendendo difficile rilevare tracce di attività malware.

    L’analisi del codice Killer Ultra ha rivelato la presenza di funzioni inattive che potrebbero essere utilizzate per scopi post-exploitation. Il programma può caricare strumenti da fonti remote, eseguire processi utilizzando la funzione CreateProcessW e utilizzare anche funzioni di virtualizzazione e sandbox. Queste funzionalità non sono ancora attive, ma potrebbero essere utilizzate nelle versioni future di Killer Ultra.

    Il malware Killer Ultra rappresenta un serio problema di sicurezza. Le organizzazioni sono incoraggiate ad aggiornare le proprie strategie di rilevamento e risposta per combattere questa e minacce simili.

    Redazione
    La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

    Articoli in evidenza

    20 Milioni di euro persi da IKEA per un attacco Ransomware

    Fourlis Group, il gestore dei negozi IKEA in Grecia, Cipro, Romania e Bulgaria, ha dichiarato di aver subito un attacco ransomware prima del Black Friday del 27 novembre 2024, che ha causato...

    CVE a rischio! La spina dorsale della cybersecurity Occidentale potrebbe spegnersi oggi. Riflessioni

    Noi di Red Hot Cyber lo diciamo da tempo: affidarsi esclusivamente a infrastrutture critiche gestite da enti statunitensi è un rischio per l’autonomia strategica europea. È anni che s...

    Breach Forums che fine hai fatto? Sequestro in corso, Honeypot federale o Disservizio?

    A partire da poco dopo la mezzanotte del 15 aprile 2025, BreachForums – uno dei principali forum underground – risulta offline sia nella sua versione clearnet che nella controparte su re...

    Un Exploit Zero Day su FortiGate in vendita nei forum underground per 6.500 dollari

    Un utente anonimo ha pubblicato nel forum underground chiuso Exploit un annuncio che ha subito attirato l’attenzione della comunità di cybersecurity: la vendita di un exploit zero-day...

    Un e-commerce italiano sta per essere compromesso: accesso in vendita per 500$

    Un nuovo annuncio pubblicato sul noto forum underground Exploit.in accende i riflettori su un’ennesima violazione ai danni di una realtà italiana. Questa volta si tratta di un e-...