Ricercatori di sicurezza informatica hanno svelato una nuova variante del ransomware AvosLocker che disabilita le soluzioni antivirus per eludere il rilevamento, dopo aver violato le reti target sfruttando falle di sicurezza senza patch.
“Questo è il primo caso che abbiamo osservato dagli Stati Uniti con la capacità di disabilitare una soluzione di difesa utilizzando un file legittimo del driver Avast Anti-Rootkit (asWarPot.sys)“, hanno affermato i ricercatori di Trend Micro, Christoper Ordonez e Alvin Nieto.
“Inoltre, il ransomware è anche in grado di scansionare più endpoint per la vulnerabilità Log4j (Log4shell) utilizzando lo script Nmap NSE“.
AvosLocker, una delle nuove famiglie di ransomware per colmare il vuoto lasciato da REvil, è stata collegata a una serie di attacchi che hanno preso di mira infrastrutture critiche, inclusi servizi finanziari e strutture governative.
Non paghi il riscatto? Dati all’asta
Un ransomware-as-a-service (RaaS) individuato per la prima volta nel luglio 2021, AvosLocker va oltre la doppia estorsione mettendo all’asta i dati rubati alle vittime nel caso in cui le entità prese di mira si rifiutassero di pagare il riscatto.
I mercati più colpiti
I dati di telemetria raccolti da Trend Micro mostrano che il settore alimentare e delle bevande è stato il settore più colpito tra il 1 luglio 2021 e il 28 febbraio 2022, seguito dai vertical di tecnologia, finanza, telecomunicazioni e media.
Come agisce AvosLocker
Si ritiene che il punto di ingresso per l’attacco sia stato facilitato sfruttando un exploit per un difetto di esecuzione di codice remoto nel software ManageEngine ADSelfService Plus di Zoho (CVE-2021-40539) per eseguire un’applicazione HTML (HTA) ospitata su un server remoto.
“L’HTA ha eseguito uno script PowerShell offuscato che contiene un codice in grado di riconnettersi al server [command-and-control] per eseguire comandi arbitrari“, hanno spiegato i ricercatori.
Ciò include il recupero di una shell Web ASPX dal server e un programma di installazione per il software desktop remoto AnyDesk, l’ultimo dei quali viene utilizzato per distribuire strumenti aggiuntivi per scansionare la rete locale, terminare il software di sicurezza ed eliminare il payload del ransomware.
Lo script batch, da parte sua, è dotato di un’ampia gamma di funzionalità che gli consentono di disabilitare Windows Update, Windows Defender e Windows Error Recovery, oltre a impedire l’esecuzione di avvio sicuro dei prodotti di sicurezza, la creazione di un nuovo account amministratore e lanciare il file binario del ransomware.
Utilizzo di file legittimi
Viene anche utilizzato aswArPot.sys, un driver anti-rootkit Avast legittimo, per eliminare i processi associati a diverse soluzioni di sicurezza, una vulnerabilità che si pensava risolta nel giugno 2021.
“La decisione di scegliere il file del driver rootkit specifico dipende dalla sua capacità di essere eseguito in modalità kernel (quindi operando con privilegi elevati)“, hanno sottolineato i ricercatori.
Ti è piaciuto l’articolo? Contatta Noi Sicurezza per una consulenza in materia di sicurezza informatica: