Skitnet: analisi del ransomware diffuso nel dark web

Analisi di Skitnet ransomware: vettori d’infezione, persistenza nel sistema e misure efficaci per individuarlo e bloccarlo.

Il modello del Ransomware-as-a-Service (RaaS) ha trasformato profondamente il panorama delle minacce informatiche. Se in passato gli attacchi erano condotti quasi esclusivamente da hacker esperti, oggi chiunque è in grado di eseguirli acquistando o noleggiando programmi malevoli pronti all’uso nei marketplace del dark web.

Origini di Skitnet
Principali caratteristiche di Skitnet
Prevenzione e difesa

Tra le varianti più discusse degli ultimi anni spicca Skitnet, un nuovo vettore d’attacco che unisce facilità di utilizzo e potenza distruttiva. Queste sue peculiarità lo hanno trasformato in una delle minacce più diffuse nello scenario del cybercrime.

In questo articolo scopriremo cos’è Skitnet, come funziona, perché si è diffuso così rapidamente e quali misure adottare per proteggersi da questo ransomware.

Origini di Skitnet

Conosciuto anche come Bossnet, Skitnet ha debuttato nell’aprile 2024 su RAMP, uno dei principali forum del darknet dedicati alla compravendita di software malevolo, nonché punto di riferimento per un’ampia rete di cybercriminali. Il suo sviluppatore, conosciuto con lo pseudonimo LARVA-306, lo ha presentato come un malware in grado di installarsi in automaticamente tramite script Bash, senza alcun intervento manuale.

Grazie a questa automazione, Skitnet si è fatto notare nello scenario del cybercrime in pochi mesi. Infatti, diverse cybergang lo hanno adottato per compromettere sistemi e infrastrutture digitali, attratte proprio dalla sua semplicità d’uso e dalle capacità avanzate.

Tra le campagne più rilevanti condotte con questo ransomware spiccano:

Quella condotta dal gruppo BlackBasta nell’aprile 2025, in cui Skitnet è stato utilizzato in attacchi di phishing a tema Microsoft Teams;
Quella del gruppo Cactus, che lo ha impiegato come strumento di post-exploitation, per mantenere l’accesso ai sistemi compromessi e facilitare attività di esfiltrazione e controllo remoto.

Principali caratteristiche di Skitnet

Le funzionalità di Skitnet sono numerose e progettate per offrire agli attaccanti un controllo completo del dispositivo una volta compromesso. Tra le più rilevanti, citiamo:

Cattura di screenshot del desktop della vittima;
Installazione di software di accesso remoto legittimo, come AnyDesk o Remote Utilities;
Esecuzione di comandi PowerShell;
Raccolta di informazioni sui prodotti di sicurezza installati;
Download di un loader .NET per veicolare ulteriori payload;

Per eludere i sistemi di difesa, Skitnet non dichiara in anticipo le funzioni di Windows che utilizzerà, ma le richiama solo al momento dell’esecuzione, tramite la funzione GetProcAddress. In tal modo rende più difficile il rilevamento da parte degli antivirus. Inoltre, il malware stabilisce una connessione con un server di comando e controllo (C2) che cancella automaticamente diversi dati per non lasciare tracce utili alle indagini forensi, come:

Log di connessioni SSH;
Indirizzi IP;
Command history logs;
Cache.

Modalità d’infezione

Seguendo la strada del RaaS, Skitnet è distribuito con metodi diversi a seconda del gruppo criminale. Quelli maggiormente osservati sono il phishing, i loader malevoli e le tecniche di ingegneria sociale. L’infezione inizia con un loader scritto in Rust, che decifra un payload criptato con algoritmo ChaCha20. Quest’ultimo, scritto in Nim, è eseguito direttamente in memoria, tramite la libreria DInvoke-rs, che evita la scrittura su disco e riduce le probabilità di rilevamento.

Una volta attivo, Skitnet stabilisce una reverse shell basata su DNS, in modo da mascherare il traffico sospetto all’interno di una query DNS. Per mantenere attiva la comunicazione con il server di comando e controllo (C2), il ransomware gestisce in parallelo tre attività:

Invio di segnali al server;
Lettura dei comandi ricevuti;
Invio dei risultati delle azioni eseguite;

All’avvio del dispositivo infetto, Skitnet crea una cartella chiamata huo al percorso C:\ProgramData e scarica al suo interno tre componenti:

L’eseguibile legittimo ASUS ISP.exe, firmato digitalmente;
La libreria malevola SnxHidLib.DLL;
Lo script PowerShell pas.ps1, utilizzato per mantenere le comunicazioni con l’infrastruttura degli attaccanti;

Per assicurarsi la persistenza nel sistema, il ransomware aggiunge un collegamento al file ISP.exe nella cartella di avvio di Windows. In tal modo, ad ogni riavvio, il programma legittimo viene eseguito insieme alla libreria malevola, che ristabilisce subito la connessione con il server C2 degli attaccanti. Così Skitnet rimane attivo e invisibile nel dispositivo compromesso per lunghi periodi.

Prevenzione e difesa

L’utilizzo di ransomware standardizzati come Skitnet è per i cybercriminali un metodo economico ed efficace per condurre attacchi su larga scala. Questi strumenti consentono una distribuzione rapida del codice malevolo e complicano l’attribuzione, poiché sono utilizzati da attori diversi. Si tratta di un aspetto particolarmente rilevante nello scenario del Ransomware-as-a-Service, pioché la condivisione e il riutilizzo degli strumenti è parte integrante del modello.

Ecco perché occorrono controlli mirati e una serie di misure atte a rafforzare il proprio perimetro difensivo. Di seguito, sono riportate alcune best practices da adottare contro minacce di questo genere:

Rafforzare il controllo degli endpoint.
Attraverso soluzioni EDR (Endpoint Detection and Response) e XDR (Extended Detection and Response) è possibile rilevare attività anomale, come l’esecuzione di script PowerShell sospetti, la creazione di collegamenti non autorizzati nelle cartelle di avvio e il caricamento di DLL malevole.
Monitorare il traffico DNS.
Configurare sistemi di analisi del traffico e attivare controlli su query anomale o volumi sospetti di richieste DNS aiuta a identificare e bloccare comunicazioni con le infrastrutture C2 degli attaccanti.
Eseguire esclusivamente programmi autorizzati.
Limitare l’esecuzione a software approvato riduce la possibilità che vengano lanciati loader o payload malevoli. Questa pratica aiuta anche a prevenire installazioni silenziose di strumenti legittimi come AnyDesk o RUT-Serv.
Applicare il principio del privilegio minimo.
Ridurre il numero di account con diritti amministrativi e adottare sistemi di gestione privilegiata (PAM), ostacola le tecniche di post-exploitation e limita i danni in caso di compromissione.
Integrare attività di threat hunting e analisi forense.
Condurre analisi periodiche sugli endpoint consente di rilevare segnali di compromissione che sfuggono ai controlli automatici, come cancellazione immotivata di log o cache e persistenti attività sospette in memoria.

Autore articolo
Gli ultimi articoli

Roberto Caprara

Classe 1998, laureato in Informatica e Comunicazione Digitale, appassionato di informatica e scrittura. Scrivere per questo blog rappresenta per me un’occasione per divulgare la cultura della cybersecurity, oggi più che mai indispensabile. Scrivo di minacce informatiche, social engineering e digital awareness, impegnandomi attivamente a trasformare scenari complessi in contenuti accessibili per i nostri utenti.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.