Negli ultimi mesi, il gruppo ransomware Dire Wolf ha fatto la sua comparsa nel panorama cybercriminale, distinguendosi per l’uso di un malware chiamato SNOWFANG, sviluppato in linguaggio Go. Questo ransomware, attivo da maggio 2025, ha già colpito numerose organizzazioni in settori diversificati, dalla manifattura ai servizi finanziari, con vittime sparse tra Turchia, Thailandia, Taiwan, Singapore, […] L'articolo Dire Wolf e SNOWFANG: la nuova minaccia ransomware scritta in Go proviene da (in)sicurezza digitale.
Source: https://insicurezzadigitale.com/dire-wo ... tta-in-go/
DETTAGLI UTILI
Tabella 1: Servizi bloccati da SNOWFANG
| Servizio | Descrizione (se nota) |
|----------|-----------------------|
| **AcrSch2Svc** | Servizio di scheduling di Acronis |
| **BackExecRPCService** | Servizio RPC di Backup Exec |
| **BackupExecAgentAccelerator** | Componente di ottimizzazione backup |
| **BackupExecVSSProvider** | Provider VSS per backup |
| **CASAD2DWebSvc** | Servizio CAD collegato |
| **DefWatch** | Servizio di monitoraggio Symantec |
| **GxCVD** | Servizio di verifica dati (prob. G Data) |
| **Intuit.QuickBooks.FCS** | Servizio contabilità QuickBooks |
| **MSSQLSERVER** | Servizio SQL Server |
| **SavRoam** | Servizio Sophos |
| **SQLWriter** | Servizio di scrittura SQL |
| **VeeamTransportSvc** | Servizio di trasporto Veeam |
| **vss** | Volume Shadow Copy |
| **wuauserv** | Windows Update |
---
Tabella 2: Processi terminati da SNOWFANG
| Processo | Note |
|----------|------|
| **agntsvc.exe** | Agente di servizi (es. Oracle) |
| **dbsnmp.exe** | Monitoraggio database |
| **Defwatch.exe** | Parte di Symantec Endpoint Protection |
| **encsvc.exe** | Servizio di crittografia |
| **MSExchangeIS.exe** | Servizio Exchange |
| **sqlservr.exe** | Processo principale SQL Server |
| **tomcat6.exe** | Server Apache Tomcat |
| **vss.exe** | Volume Shadow Copy Service |
| **winword.exe** | Microsoft Word |
---
Tabella 3: Estensioni file ignorate da SNOWFANG
| Estensione | Motivo (presunto) |
|------------|-------------------|
| **.exe** | Evita il blocco di file di sistema |
| **.dll** | Librerie critiche per l'OS |
| **.sys** | Driver di sistema |
| **.iso** | File immagine disco |
| **.direwolf** | Estensione già cifrata |
| **.tmp** | File temporanei |
---
Dettaglio comandi distruttivi
SNOWFANG esegue anche questi comandi per sabotare i ripristini:
Codice: Seleziona tutto
powershell
vssadmin delete shadows /all /quiet
wbadmin delete catalog -quiet
wevtutil cl Application # Cancella log eventi Per mitigare:
- Monitorare l'esecuzione di `vssadmin` o `wbadmin` con flag `/quiet`.
- Bloccare l'accesso a **Tox** e domini .onion.
YARA RULE
Codice: Seleziona tutto
rule SNOWFANG_Ransomware {
meta:
description = "Detects SNOWFANG ransomware samples"
author = "Google Threat Intelligence Group"
strings:
$go_binary = "Go build ID" wide
$mutex = "Global\\direwolfAppMutex" wide
$extension = ".direwolf" wide
condition:
all of them
}