Gli attacchi ransomware utilizzano sempre più il malware AuKill per disabilitare l’EDR

da Redazione
0 commenti 1 minuti leggi

AuKill è un nuovo strumento di cybercriminalità che gli aggressori utilizzano per disabilitare le difese di endpoint detection and response (EDR) utilizzate dalle aziende prima di diffondere ransomware. Il malware AuKill sfrutta driver di dispositivo malevoli per infiltrarsi nei sistemi.

Come funziona il malware AuKill

Recentemente, i ricercatori di Sophos hanno scoperto un aggressore che utilizza AuKill prima di diffondere il ransomware Medusa Locker e un altro aggressore che lo utilizza su un sistema già compromesso prima di installare il ransomware LockBit. AuKill inserisce un driver chiamato PROCEXP.SYS, proveniente dalla versione 16.32 di Process Explorer, nella stessa posizione della versione legittima del driver di Process Explorer (PROCEXP152.sys). Una volta sul sistema, lo strumento sfrutta il driver legittimo per eseguire istruzioni volte a disattivare l’EDR e altri controlli di sicurezza sul computer compromesso.

L’evoluzione di AuKill e la diffusione di ransomware

Sophos ha analizzato sei versioni diverse di AuKill e ha notato alcuni cambiamenti sostanziali con ogni nuova versione. Le versioni più recenti ora prendono di mira più processi e servizi EDR per la terminazione. AuKill ha distribuito diversi tipi di ransomware, tra cui Medusa Locker e LockBit, dall’inizio del 2023. I ricercatori hanno scoperto sei varianti diverse del malware finora, con la più vecchia avente un timestamp che indica che è stata compilata nel novembre 2022.

Gli attacchi e la disabilitazione dei prodotti di sicurezza

Questi attacchi sono simili a una serie di incidenti segnalati da Sophos, Microsoft, Mandiant e SentinelOne a dicembre. In tali attacchi, gli attori delle minacce utilizzavano driver personalizzati per disabilitare i prodotti di sicurezza sui sistemi già compromessi, lasciandoli aperti ad altri exploit. Come gli altri driver, il driver Process Explorer vulnerabile utilizzato da AuKill ha accesso privilegiato ai sistemi installati e può interagire con i processi in esecuzione e terminarli.

Annunci

Si può anche come

MatriceDigitale.it – Copyright © 2024, Livio Varriale – Registrazione Tribunale di Napoli n° 60 del 18/11/2021. – P.IVA IT10498911212 Privacy Policy e Cookies

Developed with love by Giuseppe Ferrara