Varianta ransomware AvosLocker foloseste un nou truc pentru a dezactiva protecția antivirus

Cercetătorii în domeniul securității cibernetice au dezvăluit o nouă variantă a ransomware-ului AvosLocker care dezactivează soluțiile antivirus pentru a evita detectarea după încălcarea rețelelor țintă, profitând de defectele de securitate nepatificate.

„Acesta este primul eșantion pe care l-am observat din SUA cu capacitatea de a dezactiva o soluție de apărare folosind un fișier legitim Avast Anti-Rootkit Driver (asWarPot.sys)”, au declarat cercetătorii Trend Micro, Christoper Ordonez și Alvin Nieto, într -o analiză de luni.

„În plus, ransomware-ul este capabil să scaneze mai multe puncte finale pentru vulnerabilitatea Log4j (Log4shell) folosind scriptul Nmap NSE .”AvosLocker , una dintre cele mai noi familii de ransomware pentru a umple vidul lăsat de REvil , a fost legat de o serie de atacuri care au vizat infrastructura critică din SUA, inclusiv serviciile financiare și facilitățile guvernamentale.

Un grup afiliat de tip ransomware-as-a-service (RaaS) depistat pentru prima dată în iulie 2021, AvosLocker depășește dubla extorcare prin licitație a datelor furate de la victime în cazul în care entitățile vizate refuză să plătească răscumpărarea.

Alte victime vizate revendicate de cartelul ransomware ar fi localizate în Siria, Arabia Saudită, Germania, Spania, Belgia, Turcia, Emiratele Arabe Unite, Marea Britanie, Canada, China și Taiwan, potrivit unui aviz publicat de Biroul Federal al SUA. of Investigation (FBI) în martie 2022.Datele de telemetrie colectate de Trend Micro arată că sectorul alimentar și al băuturilor a fost cea mai afectată industrie între 1 iulie 2021 și 28 februarie 2022, urmat de sectorul tehnologiei, finanțelor, telecomunicațiilor și media.Se crede că punctul de intrare pentru atac a fost facilitat prin folosirea unui exploit pentru o eroare de execuție a codului de la distanță în software-ul Zoho ManageEngine ADSelfService Plus ( CVE-2021-40539 ) pentru a rula o aplicație HTML ( HTA ) găzduită pe un server la distanță.

„HTA a executat un script PowerShell ofuscat care conține un cod shell, capabil să se conecteze înapoi la serverul [comandă și control] pentru a executa comenzi arbitrare”, au explicat cercetătorii.

Aceasta include preluarea unui shell web ASPX de pe server, precum și a unui program de instalare pentru software-ul de desktop la distanță AnyDesk , acestadin urmă fiind utilizat pentru a implementa instrumente suplimentare pentru a scana rețeaua locală, a opri software-ul de securitate și a renunța la sarcina utilă de ransomware.

Unele dintre componentele copiate la punctul final infectat sunt un script Nmap pentru a scana rețeaua pentru defecțiunea de execuție a codului de la distanță Log4Shell ( CVE-2021-44228 ) și un instrument de implementare în masă numit PDQ pentru a livra un script batch rău intenționat către mai multe puncte finale.
Scriptul batch, la rândul său, este echipat cu o gamă largă de capabilități care îi permit să dezactiveze Windows Update, Windows Defender și Windows Error Recovery, pe lângă prevenirea execuției de pornire în siguranță a produselor de securitate, crearea unui nou cont de administrator și lansarea binarului ransomware.De asemenea, este utilizat aswArPot.sys, un driver anti-rootkit Avast legitim, pentru a distruge procesele asociate cu diferite soluții de securitate prin armonizarea unei vulnerabilități acum remediate în driverul pe care compania cehă l-a rezolvat în iunie 2021 .„Decizia de a alege fișierul driver rootkit specific este pentru capacitatea acestuia de a se executa în modul kernel (prin urmare, funcționează la un privilegiu ridicat),” au subliniat cercetătorii. „Această variantă este, de asemenea, capabilă să modifice alte detalii ale soluțiilor de securitate instalate, cum ar fi dezactivarea avizului legal.”

Sursa : www.thehackernews-com