Rileva il Ransomware AvosLocker: Usa un File Driver per Disabilitare la Protezione Antivirus, Scansiona la Vulnerabilità Log4Shell
Indice:
Recenti ricerche sulla sicurezza informatica hanno scoperto campioni di ransomware AvosLocker che abusano del file del driver Anti-Rootkit di Avast per disabilitare l’antivirus, il che consente agli avversari di eludere il rilevamento e bloccare la difesa. AvosLocker è noto per rappresentare una famiglia di ransomware relativamente nuova che è apparsa nell’arena delle minacce informatiche per sostituire il famigerato REvil, che è stata una delle varianti di ransomware più attive nel 2021 fino alla chiusura ufficiale dei suoi operatori.
In quest’ultimo attacco informatico, il ransomware AvosLocker è stato anche osservato mentre sfruttava un insieme di endpoint per Log4Shell, una vulnerabilità zero-day nota nella libreria di logging Java Apache Log4j che ha compromesso centinaia di milioni di dispositivi in tutto il mondo. Il ransomware ha abilitato la scansione per Log4Shell utilizzando lo script Nmap NSE dannoso. Apache Log4j Java logging library that has compromised hundreds of millions of devices across the globe. The ransomware enabled scanning for Log4Shell leveraging the malicious Nmap NSE script.
Rilevare il Ransomware AvosLocker
Le regole Sigma qui sotto, rilasciate dai nostri perspicaci sviluppatori di Threat Bounty Sittikorn Sangrattanapitak and Nattatorn Chuensangarun, consentono un rilevamento agevole degli ultimi attacchi che coinvolgono il ransomware AvosLocker:
Possibile Terminazione di Trend Micro Apex One su Windows (via process_creation)
Il numero e la gravità crescenti degli incidenti ransomware stanno creando una superficie di attacco ampliata, mettendo a rischio più utenti ogni giorno. Per rimanere aggiornati con i contenuti di rilevamento relativi al ransomware AvosLocker, registrati sulla piattaforma SOC Prime. Il pulsante Visualizza Rilevazioni ti porterà a un’ampia libreria di regole dedicate tradotte per oltre 25 soluzioni SIEM, EDR e XDR.
Il Programma Threat Bounty di SOC Prime accoglie sia cacciatori di minacce esperti che aspiranti per condividere i loro contenuti di rilevamento basati su Sigma in cambio di coaching esperto e un reddito costante.
pulsante Visualizza Rilevazioni Unisciti a Threat Bounty
Analisi del Ransomware AvosLocker
Osservato per la prima volta a luglio 2021 e operante come un modello Ransomware-as-a-Service (RaaS) , il ransomware AvosLocker prende di mira settori alimentari e delle bevande, industrie tecnologiche e finanziarie, enti di telecomunicazioni e governativi, con India, Canada e Stati Uniti individuati come i paesi più colpiti basati sull’attività dannosa durata mezzo anno da luglio 2021 a febbraio 2022. Secondo il consiglio di sicurezza informatica congiunto emesso da FBI e FinCEN, il ransomware AvosLocker ha colpito anche infrastrutture critiche degli Stati Uniti, inclusi servizi finanziari ed enti governativi.
Basato sulla nuova ricerca degli analisti di sicurezza di Trend Micro , una nuova variante del ransomware AvosLocker ha iniziato a diffondersi in tutto il mondo, distinguendosi dagli altri ceppi di questa famiglia di ransomware come il primo a disabilitare le soluzioni antivirus sui dispositivi infetti.
Il punto di accesso iniziale più probabile è l’exploit di Zoho ManageEngine ADSelfService Plus (ADSS). Dopo la penetrazione riuscita, gli avversari lanciano mshta.exe per eseguire da remoto un file applicazione HTML (HTA) dal loro server C&C. L’HTA eseguiva uno script PowerShell offuscato con un shellcode che gli permetteva di connettersi al server ed eseguire comandi arbitrari su un sistema operativo host. Inoltre, PowerShell scarica e avvia lo strumento di desktop remoto AnyDeskMSI, utilizzato per distribuire il payload del ransomware e gli strumenti utilizzati per compromettere ulteriormente il sistema.
Oltre alla scansione di una nota vulnerabilità Log4Shell, tracciata come CVE-2021-44228, il ransomware AvosLocker prende di mira altre vulnerabilità non corrette per penetrare in una rete mirata. Questa nuova variante di campioni di ransomware AvosLocker abusa di un file driver (Avast Anti-Rootkit Driver) per disabilitare il software antivirus e stabilire la sua presenza furtiva. Dopo aver disabilitato la difesa, gli operatori di AvosLocker trasferiscono altri strumenti, inclusi Mimikatz e Impacket.
Gli avversari usano PDQ, che è uno strumento di distribuzione del software per consegnare uno script batch malevolo su un sistema mirato. Lo script batch ha una vasta gamma di funzionalità, inclusa la capacità di interrompere i processi di diversi prodotti Windows, come Windows Error Recovery o Windows Update, oltre a proibire l’esecuzione sicura del boot del software di sicurezza, creare un nuovo account amministrativo ed eseguire il codice malevolo per diffondere l’infezione.
Per rimanere aggiornati con gli eventi relativi all’industria della sicurezza informatica, segui il blog di SOC Prime. Sei alla ricerca di una piattaforma affidabile per distribuire i tuoi contenuti di rilevamento promuovendo la difesa informatica collaborativa? Unisciti al programma di crowdsourcing di SOC Prime per condividere le tue regole Sigma e YARA con la comunità, guidare il cambiamento positivo nella sicurezza informatica e guadagnare un reddito stabile per il tuo contributo!
