• BitMAT
  • BitMATv
  • Top Trade
  • Linea EDP
  • Itis Magazine
  • Industry 5.0
  • Sanità Digitale
  • ReStart in Green
  • Speciale Stampanti
  • Contattaci
Close Menu
LineaEDPLineaEDP
    Facebook X (Twitter) Vimeo Instagram LinkedIn RSS
    Trending
    • Phantom squatting: la nuova minaccia cyber sfrutta le allucinazioni dell’intelligenza artificiale
    • PitchMate: Infobip lancia l’assistente AI per i tifosi di calcio di tutto il mondo
    • Email fasulle Interpol diffondono ransomware: nel mirino le PMI
    • Cloud sovrano europeo: Check Point porta il Cloud Firewall su AWS European Sovereign Cloud
    • Nasce un nuovo player europeo per la trasformazione digitale: Havant completa l’acquisizione di Intesa
    • AI nelle imprese italiane: oltre il 90% fatica a portarla a regime
    • TXT acquisisce GCI e lancia TXT Digital Edge per rafforzare networking, data center e cybersecurity
    • Kaspersky: le minacce cyber che sfuggono alle aziende per mesi
    Facebook X (Twitter) Vimeo Instagram LinkedIn RSS
    LineaEDPLineaEDP
    • Cio
    • Cloud
    • Mercato
    • News
    • Tecnologia
    • Case History
    • Report
    • Sicurezza
    • IOT
    LineaEDPLineaEDP
    Sei qui:Home»Rubriche»Sicurezza»Embargo: il gruppo ransomware che disabilita le soluzioni di sicurezza

    Embargo: il gruppo ransomware che disabilita le soluzioni di sicurezza

    By Redazione LineaEDP05/11/20243 Mins Read
    Facebook Twitter LinkedIn Reddit Telegram WhatsApp Email

    I ricercatori di ESET individuano Embargo, un nuovo gruppo che sta cercando di affermarsi come operatore di ransomware di primo piano

    Embargo

    Un nuovo allarme cyber arriva da ESET, leader europeo globale nel mercato della cybersecurity. I ricercatori hanno individuato nuovi strumenti che portano all’installazione del ransomware del gruppo Embargo. Si tratta di un gruppo relativamente nuovo nel campo dei ransomware, è stato infatti osservato per la prima volta da ESET nel giugno 2024. Il nuovo toolkit è composto da un loader e da uno strumento per la disattivazione delle soluzioni di endpoint detection and response (EDR), denominati rispettivamente MDeployer e MS4Killer. Quest’ultimo è particolarmente significativo poiché viene compilato su misura per l’ambiente di ogni vittima, e va a colpire specifiche soluzioni di sicurezza. Il malware sfrutta la Modalità Provvisoria e un driver vulnerabile per disabilitare i prodotti di sicurezza presenti sul dispositivo della vittima. Entrambi sono scritti in Rust, il linguaggio scelto dal gruppo Embargo per lo sviluppo del proprio ransomware.

    Il modus operandi di Embargo

    Embargo appare essere un gruppo ben organizzato e dotato di risorse adeguate. Il gruppo crea una propria infrastruttura per comunicare con le vittime e utilizza la doppia estorsione come metodo di pressione: oltre a criptare i dati, gli operatori esfiltrano informazioni sensibili e minacciano di pubblicarle su un sito di leak. In un’intervista con un presunto membro del gruppo, un rappresentante di Embargo ha menzionato uno schema di pagamento base per gli affiliati, suggerendo che il gruppo offre un servizio di RaaS (ransomware as a service).

    “Data la sofisticazione del gruppo, l’esistenza di un sito per la pubblicazione dei leak e le dichiarazioni rilasciate, ipotizziamo che Embargo operi effettivamente come un provider di RaaS”, afferma Jan Holman, ricercatore di ESET che ha analizzato la minaccia insieme al collega Tomáš Zvara.

    Le differenze nelle versioni distribuite, i bug e gli artefatti residui indicano che questi strumenti sono ancora in fase di sviluppo attivo. Embargo sta cercando di affermarsi come operatore di ransomware di primo piano.

    Gli strumenti usati per colpire le vittime

    Sviluppare loader personalizzati e strumenti di rimozione degli EDR è una tattica comune utilizzata da diversi gruppi di ransomware. Oltre al fatto che MDeployer e MS4Killer sono sempre stati rilevati insieme, esistono ulteriori connessioni tra loro. La stretta correlazione tra questi strumenti suggerisce che siano sviluppati dallo stesso attore di minacce e lo sviluppo attivo del toolkit indica che il gruppo ha una buona padronanza del linguaggio Rust.

    Con MDeployer, Embargo sfrutta la Modalità Provvisoria per disabilitare le soluzioni di sicurezza. MS4Killer è uno strumento tipico di elusione delle difese che termina i processi dei prodotti di sicurezza utilizzando la tecnica nota come Bring Your Own Vulnerable Driver (BYOVD). In questa tecnica, l’attaccante sfrutta driver kernel vulnerabili e firmati per ottenere l’esecuzione del codice a livello di kernel. Gli affiliati ai ransomware spesso integrano strumenti BYOVD nella loro procedura di compromissione per alterare le soluzioni di sicurezza che proteggono l’infrastruttura attaccata. Una volta disabilitati i software di sicurezza, gli affiliati possono eseguire il payload del ransomware senza preoccuparsi di essere rilevati.

    Lo scopo principale del toolkit di Embargo è garantire il successo dell’installazione del ransomware disabilitando le soluzioni di sicurezza dell’infrastruttura della vittima. Il gruppo dedica molto impegno a questo aspetto, replicando la stessa funzionalità in diverse fasi dell’attacco.

    “Abbiamo anche osservato la capacità degli aggressori di adattare i propri strumenti in tempo reale, durante un’intrusione attiva, per affrontare una specifica soluzione di sicurezza”, aggiunge Tomáš Zvara, ricercatore di ESET.

    attacchi informatici attacchi ransomware cybersecurity Eset gruppi ransomware
    Share. Facebook Twitter LinkedIn Reddit Telegram WhatsApp Email
    Redazione LineaEDP
    • Facebook
    • X (Twitter)

    LineaEDP è parte di BitMAT Edizioni, una casa editrice che ha sede a Milano con copertura a 360° per quanto riguarda la comunicazione rivolta agli specialisti dell'lnformation & Communication Technology.

    Correlati

    Phantom squatting: la nuova minaccia cyber sfrutta le allucinazioni dell’intelligenza artificiale

    03/07/2026

    Email fasulle Interpol diffondono ransomware: nel mirino le PMI

    03/07/2026

    Cloud sovrano europeo: Check Point porta il Cloud Firewall su AWS European Sovereign Cloud

    03/07/2026
    Newsletter

    Iscriviti alla Newsletter per ricevere gli aggiornamenti dai portali di BitMAT Edizioni.

    Security Words

    INFRASTRUTTURA APPLICATIVA: PROTEGGIAMOLA

    29/01/2024

    PASSWORD E STRATEGIA

    29/01/2024
    BitMATv – I video di BitMAT
    TrendAI rafforza l’ecosistema: partnership, competenze e innovazione per la cybersecurity del futuro
    TrendAI punta sul canale: competenze, consulenza e servizi gestiti al centro della strategia
    Perché sono importanti i protocolli?
    Titanium: l’evoluzione del Motion Control
    IA in azienda: obblighi normativi, governance e protezione dei dati
    Defence Tech

    Phantom squatting: la nuova minaccia cyber sfrutta le allucinazioni dell’intelligenza artificiale

    03/07/2026

    Email fasulle Interpol diffondono ransomware: nel mirino le PMI

    03/07/2026

    Cloud sovrano europeo: Check Point porta il Cloud Firewall su AWS European Sovereign Cloud

    03/07/2026

    Kaspersky: le minacce cyber che sfuggono alle aziende per mesi

    02/07/2026
    Report

    IA in crescita, ma il ROI dipende dalla preparazione delle persone

    29/06/2026

    LLM e Cybersecurity: la fiducia nell’AI può diventare un rischio

    23/06/2026

    AI sul lavoro: la vera sfida non è adottarla, ma trasformarla in valore

    23/06/2026

    Agenti AI: cresce la fiducia dei consumatori, ma resta aperta la sfida della scalabilità

    23/06/2026
    Rete BitMAT
    • Bitmat
    • BitMATv
    • Top Trade
    • LineaEdp
    • ItisMagazine
    • Speciale Sicurezza
    • Industry 4.0
    • Sanità Digitale
    • Redazione
    • Contattaci
    NAVIGAZIONE
    • Cio
    • Cloud
    • Mercato
    • News
    • Tecnologia
    • Case History
    • Report
    • Sicurezza
    • IOT
    Chi Siamo
    Chi Siamo

    LineaEDP è una testata giornalistica appartenente al gruppo BitMAT Edizioni, una casa editrice che ha sede a Milano con una copertura a 360° per quanto riguarda la comunicazione online ed offline rivolta agli specialisti dell'lnformation & Communication Technology.

    Facebook X (Twitter) Instagram Vimeo LinkedIn RSS
    • Contattaci
    • Cookies Policy
    • Privacy Policy
    • Redazione
    © 2012 - 2026 BitMAT Edizioni - P.Iva 09091900960 - tutti i diritti riservati - Iscrizione al tribunale di Milano n° 293 del 28-11-2018 - Testata giornalistica iscritta al ROC

    Type above and press Enter to search. Press Esc to cancel.