Il ransomware AvosLocker è in grado di disabilitare il software antivirus per eludere il rilevamento, secondo Trend Micro.
In un post sul blog, i ricercatori di Trend Micro Christopher Ordonez e Alvin Nieto hanno dettagliato la tecnica relativamente nuova che ha sfruttato un rootkit legittimo nell’offerta antivirus di Avast. Non solo gli operatori dietro AvosLocker hanno bypassato le caratteristiche di sicurezza, ma hanno anche scansionato gli endpoint vulnerabili di Log4Shell per trasferire il server di callback al server di comando e controllo del gruppo.
In entrambi i casi, gli aggressori hanno approfittato delle vulnerabilità precedentemente divulgate, una preoccupazione ricorrente per le imprese.
AvosLocker è relativamente nuovo nel panorama delle minacce ransomware. Trend Micro, così come Palo Alto Networks, ha notato la sua comparsa l’anno scorso potrebbe aver riempito un vuoto lasciato dalla chiusura di REvil. Anche se le tattiche osservate si sono allineate con la precedente attività di AvosLocker, un aspetto significativo dell’attacco ha segnato una prima volta per i ricercatori di Trend Micro.
“Questo è il primo campione che abbiamo osservato dagli Stati Uniti con la capacità di disabilitare una soluzione di difesa utilizzando un file legittimo Avast Anti-Rootkit Driver (asWarPot.sys)“, hanno scritto Ordonez e Nieto nel blog e sospettano l’exploit di Zoho ManageEngine Active Directory SelfService Plus come vettore di attacco iniziale, sulla base delle indicazioni che gli attori hanno sfruttato la vulnerabilità nota soprannominata CVE-2021-40539. Il bug di esecuzione di codice remoto è stato inizialmente rivelato l’anno scorso dal fornitore di sicurezza Synacktiv.
Accedendo all’AD, gli attori della minaccia sono stati in grado di creare un nuovo account utente per ottenere l’accesso amministrativo all’interno del sistema infetto. Hanno usato uno script PowerShell per scaricare gli strumenti necessari come AnyDesk, che consente l’accesso remoto. Da lì, i ricercatori hanno osservato lo script PowerShell disabilitare i prodotti di sicurezza sfruttando il legittimo driver Avast Anti-Rootkit. Il driver è stato parte integrante nel terminare qualsiasi processo dei prodotti di sicurezza che ha scoperto.
“Una volta all’interno, la tendenza continua di abusare di strumenti e funzioni legittime per mascherare le attività dannose e la presenza degli attori cresce in sofisticazione. In questo caso, gli aggressori sono stati in grado di studiare e utilizzare il driver di Avast come parte del loro arsenale per disattivare i prodotti di sicurezza di altri fornitori“, hanno scritto Ordonez e Nieto.
Trend Micro sostiene che ha notificato Avast, che ha confermato la vulnerabilità è stata trovata in una “vecchia versione del suo driver aswArpot.sys” che è stato fissato nel giugno 2021.
“Abbiamo anche lavorato a stretto contatto con Microsoft, così hanno rilasciato un blocco nel sistema operativo Windows (10 e 11), quindi la vecchia versione del driver Avast non può essere caricata in memoria“, ha detto il post sul blog. “L’aggiornamento di Microsoft per il sistema operativo Windows è stato pubblicato a febbraio come aggiornamento opzionale, e nel rilascio di sicurezza di Microsoft in aprile, quindi le macchine completamente aggiornate che eseguono Windows 10 e 11 non sono vulnerabili a questo tipo di attacco“.
Purtroppo, le imprese lottano per tenere il passo con gli aggiornamenti, come evidenziato nel rapporto e nei recenti avvisi del governo. Ad esempio, le forze dell’ordine di cinque paesi tra cui gli Stati Uniti hanno emesso un avviso il mese scorso sui bug più comunemente sfruttati del 2021. Sia Log4Shell che CVE-2021-40539 sono stati elencati in quanto continuano a rappresentare un rischio per la sicurezza; e gli attori delle minacce stanno prendendo nota.
“Analogamente ai gruppi di malware e ransomware precedentemente documentati, AvosLocker sfrutta le diverse vulnerabilità che devono ancora essere patchate per entrare nelle reti delle organizzazioni”,
