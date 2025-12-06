Ricerche sulle CyberMinacce

Dentro Shanya, un packer-as-a-service che alimenta gli attacchi attuali

La scena ransomware guadagna un altro potenziale killer degli EDR
Abbiamo già trattato in passato le offerte di packer-as-a-service provenienti dal sottobosco informatico, analizzando campagne di impersonificazione e l’ascesa di HeartCrypt, entrambe molto popolari tra i gruppi ransomware. Tuttavia, si tratta di uno scenario in rapida evoluzione e ora stiamo osservando una nuova incarnazione dello stesso tipo di servizio: il crypter Shanya — già apprezzato dai gruppi ransomware e avviato a sostituire (almeno in parte) il ruolo che HeartCrypt ha rivestito nel toolkit ransomware. Esamineremo le sue apparenti origini, analizzeremo il codice e vedremo un’infezione mirata che sfrutta questo strumento. Le protezioni Sophos contro questo specifico packer sono descritte alla fine dell’articolo.

Primo sguardo: le promozioni nell’underground

Verso la fine del 2024 abbiamo trovato riferimenti su forum underground a una nuova offerta, VX Crypt, attribuita a un’entità chiamata “Shanya” (che è anche il nome di un fiume nella Russia occidentale). È importante notare che l’ID dell’autore del post, che abbiamo offuscato in Figura 1, non era “Shanya” ma un’altra stringa completamente diversa.

Gabor graduated from the Eotvos Lorand University of Budapest with a degree in physics. His first job was in the Computer and Automation Research Institute, developing diagnostic software and hardware for nuclear power plants. He started antivirus work in 1995, and began developing freeware antivirus solutions in his spare time. Gabor joined VirusBuster in 2001 where he was responsible for taking care of macro virus and script malware and became head of the virus lab in 2002. In 2008 he became a member of the Board of Directors in AMTSO (Anti Malware Testing Standards Organization) and, in 2012, joined Sophos as a Principal Malware Researcher.

Steeve Gaudreault is a Senior Threat Researcher at SophosLabs. His areas of expertise include malware reverse engineering, C2 protocol analysis, generating detection rules and configuration extractors.

