Detectar el ransomware AvosLocker: Abusa de un archivo de controlador para deshabilitar la protección antivirus, escanea la vulnerabilidad Log4Shell

Investigaciones recientes de ciberseguridad han descubierto muestras de ransomware AvosLocker que abusan del archivo Avast Anti-Rootkit Driver para desactivar el antivirus, lo que permite a los adversarios evadir la detección y bloquear la defensa. Se sabe que AvosLocker representa una familia de ransomware relativamente nueva que apareció en el ámbito de las amenazas cibernéticas para reemplazar al infame REvil, que fue una de las variantes de ransomware más activas en 2021 hasta el cierre oficial de sus operadores.

En este último ciberataque, también se observa que el ransomware AvosLocker arma un conjunto de endpoints para Log4Shell, una notoria vulnerabilidad de día cero en Ala biblioteca de registros de Java Apache Log4j que ha comprometido cientos de millones de dispositivos en todo el mundo. El ransomware habilitó el escaneo para Log4Shell aprovechando el script malicioso Nmap NSE.

Detectar Ransomware AvosLocker

Las reglas Sigma a continuación, publicadas por nuestros perspicaces desarrolladores de Threat Bounty Sittikorn Sangrattanapitak and Nattatorn Chuensangarun, permiten la detección sin esfuerzo de los últimos ataques que involucran el ransomware AvosLocker:

Posible Terminación de Trend Micro Apex One en Windows (mediante process_creation)

Posible Callback de Servidor C&C de Ransomware AvosLocker mediante Vulnerabilidad Log4Shell con Herramienta NMAP (mediante process_creation)

Posible Persistencia de Ransomware al Modificar Registro para Permitir el Inicio de Sesión Automático (mediante process_creation)

El creciente número y gravedad de los incidentes de ransomware están creando una superficie de ataque ampliada, poniendo en riesgo a más usuarios cada día. Para mantenerse al día con el contenido de detección relacionado con el ransomware AvosLocker, regístrese en la Plataforma SOC Prime. El botón Ver Detecciones lo llevará a una amplia biblioteca de reglas dedicadas, traducidas a más de 25 soluciones SIEM, EDR y XDR.

El Programa Threat Bounty de SOC Prime da la bienvenida tanto a cazadores de amenazas experimentados como a aspirantes a compartir su contenido de detección basado en Sigma a cambio de entrenamiento experto e ingresos constantes.

Ver Detecciones Únase a Threat Bounty

Análisis de Ransomware AvosLocker

Observado por primera vez en julio de 2021 y actuando como un modelo de Ransomware-como-Servicio (RaaS) , el ransomware AvosLocker se dirige a los sectores de alimentos y bebidas, industrias tecnológicas y financieras, telecomunicaciones y entidades gubernamentales, con India, Canadá y EE.UU. siendo detectados como los países más afectados basado en la actividad maliciosa que abarca medio año desde julio de 2021 hasta febrero de 2022. Según el asesoramiento conjunto de ciberseguridad emitido por FBI y FinCEN, el ransomware AvosLocker también ha afectado infraestructuras críticas de EE.UU., incluidos servicios financieros y entidades gubernamentales.

Basado en la nueva investigación de analistas de seguridad de Trend Micro , una nueva variante del ransomware AvosLocker comenzó a extenderse por todo el mundo, destacándose de otras variantes de esta familia de ransomware como la primera en deshabilitar soluciones antivirus en los dispositivos infectados.

El punto de acceso inicial más probable es la explotación de Zoho ManageEngine ADSelfService Plus (ADSS). Tras una penetración exitosa, los adversarios lanzan mshta.exe para ejecutar remotamente un archivo de aplicación HTML (HTA) desde su servidor C&C. El HTA ejecutó un script de PowerShell ofuscado con un shellcode que le permitió conectarse al servidor y ejecutar comandos arbitrarios en un sistema operativo anfitrión. Además, PowerShell descarga e inicia la herramienta de escritorio remoto AnyDeskMSI, utilizada para distribuir la carga útil del ransomware y herramientas utilizadas para un compromiso adicional del sistema.

Además de escanear una notoria vulnerabilidad Log4Shell, rastreada como CVE-2021-44228, el ransomware AvosLocker apunta a otras vulnerabilidades no parcheadas para penetrar en una red objetivo. Esta nueva variante de muestras de ransomware AvosLocker hace uso indebido de un archivo de controlador (Avast Anti-Rootkit Driver) para desactivar el software antivirus y establecer su presencia sigilosa. Después de deshabilitar la defensa, los operadores de AvosLocker transfieren otras herramientas, incluyendo Mimikatz e Impacket.

Los adversarios usan PDQ, que es una herramienta de implementación de software para entregar un script por lotes malicioso en un sistema objetivo. El script por lotes tiene una amplia gama de características, incluyendo la capacidad de matar los procesos de varios productos de Windows, como Windows Error Recovery o Windows Update, así como prohibir la ejecución de arranque seguro del software de seguridad, crear una nueva cuenta de administrador y ejecutar el código malicioso para propagar la infección.

Para mantenerse informado de los eventos relacionados con la industria de la ciberseguridad, siga el blog de SOC Prime. ¿Buscas una plataforma confiable para distribuir tu contenido de detección mientras promueves la defensa cibernética colaborativa? Únete al programa de crowdsourcing de SOC Prime para compartir tus reglas Sigma y YARA con la comunidad, impulsar un cambio positivo en la ciberseguridad y obtener un ingreso estable por tu contribución!