Détecter le Ransomware AvosLocker : Exploite un Fichier Pilote pour Désactiver la Protection Anti-Virus, Recherche la Vulnérabilité Log4Shell

Des recherches récentes en cybersécurité ont découvert des échantillons de ransomware AvosLocker abusant du fichier de pilote Avast Anti-Rootkit pour désactiver les antivirus, permettant ainsi aux adversaires d’éviter la détection et de bloquer la défense. AvosLocker est connu pour représenter une famille de ransomware relativement nouvelle apparue dans l’arène des menaces cybernétiques pour remplacer le tristement célèbre REvil, qui était l’un des variants de ransomware les plus actifs en 2021 jusqu’à la fermeture officielle de ses opérateurs.

Lors de cette dernière cyberattaque, le ransomware AvosLocker est également observé en train de militariser un ensemble de points de terminaison pour Log4Shell, une vulnérabilité zero-day notoire dans la Abibliothèque de journalisation Java Apache Log4j qui a compromis des centaines de millions d’appareils à travers le globe. Le ransomware a permis la recherche de Log4Shell en exploitant le script Nmap NSE malveillant.

Détecter le ransomware AvosLocker

Les règles Sigma ci-dessous, publiées par nos perspicaces développeurs de Threat Bounty Sittikorn Sangrattanapitak and Nattatorn Chuensangarun, permettent une détection facile des dernières attaques impliquant le ransomware AvosLocker :

Possible arrêt de Trend Micro Apex One sur Windows (via process_creation)

Possibilité d’appel de serveur C&C via la vulnérabilité Log4Shell avec l’outil NMAP (via process_creation)

Possibilité de persistance du ransomware en modifiant le registre pour permettre la connexion automatique (via process_creation)

L’augmentation du nombre et de la gravité des incidents de ransomware crée une surface d’attaque élargie, mettant chaque jour plus d’utilisateurs en danger. Pour rester à jour avec le contenu de détection lié au ransomware AvosLocker, inscrivez-vous sur la plateforme SOC Prime. Le bouton Voir les détections vous mènera à une vaste bibliothèque de règles dédiées traduites pour plus de 25 solutions SIEM, EDR et XDR.

Le programme Threat Bounty de SOC Prime invite les chasseurs de menaces expérimentés et débutants à partager leur contenu de détection basé sur Sigma en échange de coaching d’experts et de revenus stables.

bouton Voir les détections Rejoindre Threat Bounty

Analyse du ransomware AvosLocker

Observé pour la première fois en juillet 2021 et opérant comme un modèle de Ransomware-as-a-Service (RaaS) , le ransomware AvosLocker cible les secteurs de l’alimentation et des boissons, les industries technologiques et financières, les télécommunications et les entités gouvernementales, l’Inde, le Canada et les États-Unis étant identifiés comme les pays les plus touchés en fonction de l’activité malveillante s’étendant sur six mois de juillet 2021 à février 2022. Selon l avis conjoint sur la cybersécurité publié par le FBI et le FinCEN, le ransomware AvosLocker a également frappé des infrastructures critiques aux États-Unis, y compris les services financiers et les entités gouvernementales.

Selon la nouvelle recherche des analystes en sécurité de Trend Micro , une nouvelle variante de ransomware AvosLocker a commencé à se répandre à travers le globe, se distinguant des autres souches de cette famille de ransomware comme la première à désactiver les solutions antivirus sur les appareils infectés.

Le point d’accès initial le plus probable est l’exploitation de Zoho ManageEngine ADSelfService Plus (ADSS). Après la pénétration réussie, les adversaires lancent mshta.exe pour exécuter à distance une application HTML (HTA) depuis leur serveur C&C. L’HTA exécute un script PowerShell obfusqué avec un shellcode qui lui permet de se connecter au serveur et d’exécuter des commandes arbitraires sur un système d’exploitation hôte. En outre, PowerShell télécharge et lance l’outil de bureau à distance AnyDeskMSI, utilisé pour distribuer le ransomware et les outils permettant de compromettre davantage le système.

En dehors de la recherche de la célèbre vulnérabilité Log4Shell, suivie sous le nom de CVE-2021-44228, le ransomware AvosLocker cible d’autres vulnérabilités non corrigées pour pénétrer un réseau ciblé. Cette nouvelle variante d’échantillons de ransomware AvosLocker abuse d’un fichier de pilote (pilote anti-rootkit Avast) pour désactiver les logiciels antivirus afin d’établir sa présence furtive. Après avoir désactivé la défense, les opérateurs d’AvosLocker transfèrent d’autres outils, y compris Mimikatz et Impacket.

Les adversaires utilisent PDQ, qui est un outil de déploiement de logiciel, pour livrer un script batch malveillant sur un système ciblé. Le script batch a une large gamme de fonctionnalités, y compris la capacité de tuer les processus de plusieurs produits Windows, tels que la récupération d’erreur Windows ou la mise à jour Windows, ainsi que d’interdire l’exécution d’un démarrage sécurisé de logiciel de sécurité, de créer un nouveau compte administrateur et d’exécuter le code malveillant pour propager l’infection.

Pour rester à jour avec les événements relatifs à l’industrie de la cybersécurité, suivez le blog de SOC Prime. Vous recherchez une plateforme fiable pour diffuser votre contenu de détection tout en promouvant une défense cybernétique collaborative ? Rejoignez le programme de crowdsourcing de SOC Prime pour partager vos règles Sigma et YARA avec la communauté, provoquer un changement positif en cybersécurité et gagner un revenu stable pour votre contribution !