Detectar o Ransomware AvosLocker: Abusa de um Arquivo de Driver para Desativar a Proteção Anti-vírus, Verifica Vulnerabilidade Log4Shell

Pesquisas recentes de cibersegurança descobriram amostras do ransomware AvosLocker abusando do arquivo do driver Anti-Rootkit da Avast para desativar antivírus, o que permite que os adversários escapem da detecção e bloqueiem a defesa. O AvosLocker é conhecido por representar uma família de ransomware relativamente nova que apareceu na arena de ameaças cibernéticas para substituir o infame REvil, que foi uma das variantes de ransomware mais ativas em 2021 até o encerramento oficial de seus operadores.

Neste último ciberataque, também foi observado que o ransomware AvosLocker arma um conjunto de endpoints para Log4Shell, uma vulnerabilidade zero-day notória na Abiblioteca de registro Java Apache Log4j que comprometeu centenas de milhões de dispositivos ao redor do mundo. O ransomware habilitou a varredura para Log4Shell aproveitando o script malicioso Nmap NSE.

Detectar Ransomware AvosLocker

As regras Sigma abaixo, lançadas por nossos perspicazes desenvolvedores de Ameaças Bounty Sittikorn Sangrattanapitak and Nattatorn Chuensangarun, permitem a detecção sem esforço dos últimos ataques envolvendo o ransomware AvosLocker:

Possível Término do Trend Micro Apex One no Windows (via process_creation)

Possível Callback do Servidor C&C do Ransomware AvosLocker via Vulnerabilidade Log4Shell com Ferramenta NMAP (via process_creation)

Possível Persistência de Ransomware Modificando o Registro para Permitir Login Automático (via process_creation)

O número crescente e a gravidade dos incidentes de ransomware estão criando uma superfície de ataque expandida, colocando em risco mais usuários a cada dia. Para manter-se atualizado com conteúdo de detecção relacionado ao ransomware AvosLocker, registre-se na plataforma SOC Prime. O botão Ver Detecções o levará a uma vasta biblioteca de regras dedicadas traduzidas para mais de 25 soluções SIEM, EDR e XDR.

O Programa de Bônus de Ameaças da SOC Prime dá boas-vindas tanto a caçadores de ameaças experientes quanto aspirantes para compartilhar seu conteúdo de detecção baseado em Sigma em troca de treinamento especializado e receita constante.

botão Ver Detecções Junte-se ao Bônus de Ameaças

Análise do Ransomware AvosLocker

Observado pela primeira vez em julho de 2021 e atuando como um modelo de Ransomware-como-um-Serviço (RaaS) , o ransomware AvosLocker tem como alvo os setores de alimentos e bebidas, indústrias de tecnologia e finanças, telecomunicações e entidades governamentais, com Índia, Canadá e EUA sendo identificados como os principais países afetados com base na atividade maliciosa que se estendeu por seis meses, de julho de 2021 a fevereiro de 2022. De acordo com o aviso conjunto de Cibersegurança emitido pelo FBI e FinCEN, o ransomware AvosLocker também atingiu a infraestrutura crítica dos EUA, incluindo serviços financeiros e entidades governamentais.

Com base na nova pesquisa realizada pelos analistas de segurança da Trend Micro , uma nova variante do ransomware AvosLocker começou a se espalhar pelo globo, destacando-se de outras variantes desta família de ransomware como a primeira a desabilitar soluções antivírus em dispositivos infectados.

O ponto inicial de acesso mais provável é a exploração do Zoho ManageEngine ADSelfService Plus (ADSS). Após a penetração bem-sucedida, os adversários lançam mshta.exe para executar remotamente um arquivo de aplicação HTML (HTA) de seu servidor C&C. O HTA executa um script PowerShell ofuscado com um shellcode que permite conectar-se ao servidor e executar comandos arbitrários em um sistema operacional host. Além disso, o PowerShell baixa e lança a ferramenta de área de trabalho remota AnyDeskMSI, usada para distribuir a carga útil do ransomware e ferramentas utilizadas para comprometer ainda mais o sistema.

Além de escanear por uma infame vulnerabilidade Log4Shell, rastreada como CVE-2021-44228, o ransomware AvosLocker tem como alvo outras vulnerabilidades não corrigidas para penetrar em uma rede alvo. Esta nova variante de amostras do ransomware AvosLocker utiliza indevidamente um arquivo de driver (Driver Anti-Rootkit da Avast) para desabilitar softwares antivírus e estabelecer sua presença furtiva. Após desativar a defesa, os operadores do AvosLocker transferem outras ferramentas, incluindo Mimikatz e Impacket.

Os adversários usam o PDQ, que é uma ferramenta de implantação de software para entregar um script em lote malicioso em um sistema alvo. O script em lote possui uma ampla gama de recursos, incluindo a capacidade de eliminar processos de vários produtos Windows, como Recuperação de Erros do Windows ou Atualização do Windows, bem como proibir a execução segura do boot de software de segurança, criar uma nova conta de administrador e executar o código malicioso para espalhar a infecção.

Para manter-se atualizado com os eventos relacionados à indústria de cibersegurança, siga o blog da SOC Prime. Procurando por uma plataforma confiável para distribuir seu conteúdo de detecção enquanto promove a defesa cibernética colaborativa? Participe do programa de crowdsourcing da SOC Prime para compartilhar suas regras Sigma e YARA com a comunidade, impulsionar mudanças positivas na cibersegurança e ganhar uma renda estável por sua contribuição!