Sommario
AuKill è un nuovo strumento di cybercriminalità che gli aggressori utilizzano per disabilitare le difese di endpoint detection and response (EDR) utilizzate dalle aziende prima di diffondere ransomware. Il malware AuKill sfrutta driver di dispositivo malevoli per infiltrarsi nei sistemi.
Come funziona il malware AuKill
Recentemente, i ricercatori di Sophos hanno scoperto un aggressore che utilizza AuKill prima di diffondere il ransomware Medusa Locker e un altro aggressore che lo utilizza su un sistema già compromesso prima di installare il ransomware LockBit. AuKill inserisce un driver chiamato PROCEXP.SYS, proveniente dalla versione 16.32 di Process Explorer, nella stessa posizione della versione legittima del driver di Process Explorer (PROCEXP152.sys). Una volta sul sistema, lo strumento sfrutta il driver legittimo per eseguire istruzioni volte a disattivare l’EDR e altri controlli di sicurezza sul computer compromesso.
L’evoluzione di AuKill e la diffusione di ransomware
Sophos ha analizzato sei versioni diverse di AuKill e ha notato alcuni cambiamenti sostanziali con ogni nuova versione. Le versioni più recenti ora prendono di mira più processi e servizi EDR per la terminazione. AuKill ha distribuito diversi tipi di ransomware, tra cui Medusa Locker e LockBit, dall’inizio del 2023. I ricercatori hanno scoperto sei varianti diverse del malware finora, con la più vecchia avente un timestamp che indica che è stata compilata nel novembre 2022.
Gli attacchi e la disabilitazione dei prodotti di sicurezza
Questi attacchi sono simili a una serie di incidenti segnalati da Sophos, Microsoft, Mandiant e SentinelOne a dicembre. In tali attacchi, gli attori delle minacce utilizzavano driver personalizzati per disabilitare i prodotti di sicurezza sui sistemi già compromessi, lasciandoli aperti ad altri exploit. Come gli altri driver, il driver Process Explorer vulnerabile utilizzato da AuKill ha accesso privilegiato ai sistemi installati e può interagire con i processi in esecuzione e terminarli.