AvosLocker Ransomware erkennen: Missbraucht eine Treiberdatei zur Deaktivierung des Anti-Virus-Schutzes, scannt nach Log4Shell-Schwachstelle

Jüngste Cybersicherheitsforschung hat AvosLocker-Ransomware-Beispiele aufgedeckt, die die Avast Anti-Rootkit-Treiberdatei missbrauchen, um Antiviren-Software zu deaktivieren, was es Angreifern ermöglicht, der Erkennung zu entgehen und Verteidigungsmaßnahmen zu blockieren. AvosLocker ist bekannt als eine relativ neue Ransomware-Familie, die auf der Cyberbedrohungsbühne auftauchte, um die berüchtigte REvil zu ersetzen, die eine der aktivsten Ransomware-Varianten im Jahr 2021 war, bis zur offiziellen Schließung ihrer Betreiber.

In diesem jüngsten Cyberangriff wird auch beobachtet, dass AvosLocker-Ransomware eine Reihe von Endpunkten für Log4Shell nutzt, eine berüchtigte Zero-Day-Schwachstelle in der Apache Log4j Java-Logging-Bibliothek, die weltweit Hunderte Millionen Geräte kompromittiert hat. Die Ransomware ermöglichte das Scannen nach Log4Shell durch den Einsatz des bösartigen Nmap NSE-Skripts.

AvosLocker Ransomware erkennen

Die untenstehenden Sigma-Regeln, veröffentlicht von unseren klugen Threat-Bounty-Entwicklern Sittikorn Sangrattanapitak and Nattatorn Chuensangarun, ermöglichen eine mühelose Erkennung der neuesten Angriffe mit der AvosLocker-Ransomware:

Mögliche Trend Micro Apex One Beendigung auf Windows (über process_creation)

Möglicher AvosLocker Ransomware Callback C&C Server über Log4Shell-Schwachstelle mit NMAP Tool (über process_creation)

Mögliche Ransomware-Persistenz durch Modifikation der Registrierung, um automatisches Login zu erlauben (über process_creation)

Die zunehmende Zahl und Schwere von Ransomware-Vorfällen schaffen eine erweiterte Angriffsfläche, die täglich mehr Benutzer gefährdet. Um mit Erkennungsinhalten im Zusammenhang mit AvosLocker-Ransomware auf dem Laufenden zu bleiben, registrieren Sie sich für die SOC Prime Plattform. Die Detektionen anzeigen -Schaltfläche führt Sie zu einer breiten Bibliothek dedizierter Regeln, die in über 25 SIEM-, EDR- und XDR-Lösungen übersetzt wurden.

Das Threat Bounty Programm von SOC Prime lädt sowohl erfahrene als auch angehende Bedrohungsjäger ein, ihre auf Sigma basierenden Erkennungsinhalte im Austausch für fachkundige Beratung und stabiles Einkommen zu teilen.

Detektionen anzeigen Threat Bounty beitreten

AvosLocker Ransomware Analyse

Erstmals im Juli 2021 beobachtet und als Ransomware-as-a-Service (RaaS) -Modell agierend, zielt die AvosLocker-Ransomware auf die Lebensmittel- und Getränkesektoren, die Technologie- und Finanzindustrie, Telekommunikations- und Regierungseinrichtungen ab, wobei Indien, Kanada und die USA als die am stärksten betroffenen Länder angesehen werden, basierend auf der bösartigen Aktivität, die sich über ein halbes Jahr von Juli 2021 bis Februar 2022 erstreckte. Laut dem gemeinsamen Cybersecurity-Beratung , das vom FBI und FinCEN herausgegeben wurde, hat die AvosLocker-Ransomware auch kritische US-Infrastrukturen, einschließlich finanzieller Dienstleistungen und Regierungseinrichtungen, getroffen.

Basierend auf der neuen Forschung von Trend Micro Sicherheitsanalysten begann eine neue Variante der AvosLocker-Ransomware, sich rund um den Globus auszubreiten, und hebt sich von anderen Varianten dieser Ransomware-Familie dadurch ab, dass sie als erste Antivirenlösungen auf infizierten Geräten deaktiviert.

Der wahrscheinlichste initiale Zugangspunkt ist die Zoho ManageEngine ADSelfService Plus (ADSS)-Schwachstelle. Nach dem erfolgreichen Eindringen starten Angreifer mshta.exe, um eine HTML-Anwendung (HTA)-Datei von ihrem C&C-Server remote auszuführen. Das HTA führte ein verschleiertes PowerShell-Skript mit einem Shellcode aus, das die Verbindung zum Server ermöglichte und beliebige Befehle auf einem Host-Betriebssystem auszuführen. Darüber hinaus lädt PowerShell das Remote-Desktop-Tool AnyDeskMSI herunter und startet es, das verwendet wird, um Ransomware-Nutzlasten zu verteilen und Werkzeuge für weiteren Systemkompromitte zu nutzen.

Abgesehen vom Scannen nach einer berüchtigten Log4Shell-Schwachstelle, verfolgt als CVE-2021-44228, zielt die AvosLocker-Ransomware auf andere ungepatchte Schwachstellen ab, um ein gezieltes Netzwerk zu infiltrieren. Diese neue Variante der AvosLocker-Ransomware-Beispiele missbraucht eine Treiberdatei (Avast Anti-Rootkit-Treiber), um Antivirensoftware zu deaktivieren, um ihre heimliche Präsenz zu etablieren. Nach der Deaktivierung der Verteidigung transferieren die AvosLocker-Betreiber andere Werkzeuge, einschließlich Mimikatz und Impacket.

Angreifer verwenden PDQ, ein Softwarebereitstellungstool, um ein bösartiges Batch-Skript auf ein Zielsystem zu liefern. Das Batch-Skript hat eine breite Palette von Funktionen, einschließlich der Fähigkeit, die Prozesse mehrerer Windows-Produkte, wie zum Beispiel Windows-Fehlerwiederherstellung oder Windows-Updates, zu beenden, die Ausführung im sicheren Modus von Sicherheitssoftware zu verhindern, ein neues Administratorkonto zu erstellen und den bösartigen Code auszuführen, um die Infektion zu verbreiten.

Um mit den Ereignissen in der Cybersicherheitsbranche auf dem Laufenden zu bleiben, folgen Sie dem SOC Prime Blog. Suchen Sie nach einer vertrauenswürdigen Plattform, um Ihre Erkennungsinhalte zu verbreiten und gleichzeitig die kollaborative Cyberverteidigung zu fördern? Treten Sie dem SOC Prime Crowdsourcing-Programm bei, um Ihre Sigma- und YARA-Regeln mit der Community zu teilen, positive Veränderungen in der Cybersicherheit voranzutreiben und ein stabiles Einkommen für Ihren Beitrag zu verdienen!