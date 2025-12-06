Abbiamo già trattato in passato le offerte di packer-as-a-service provenienti dal sottobosco informatico, analizzando campagne di impersonificazione e l’ascesa di HeartCrypt, entrambe molto popolari tra i gruppi ransomware. Tuttavia, si tratta di uno scenario in rapida evoluzione e ora stiamo osservando una nuova incarnazione dello stesso tipo di servizio: il crypter Shanya — già apprezzato dai gruppi ransomware e avviato a sostituire (almeno in parte) il ruolo che HeartCrypt ha rivestito nel toolkit ransomware. Esamineremo le sue apparenti origini, analizzeremo il codice e vedremo un’infezione mirata che sfrutta questo strumento. Le protezioni Sophos contro questo specifico packer sono descritte alla fine dell’articolo.

Primo sguardo: le promozioni nell’underground

Verso la fine del 2024 abbiamo trovato riferimenti su forum underground a una nuova offerta, VX Crypt, attribuita a un’entità chiamata “Shanya” (che è anche il nome di un fiume nella Russia occidentale). È importante notare che l’ID dell’autore del post, che abbiamo offuscato in Figura 1, non era “Shanya” ma un’altra stringa completamente diversa.

