Notícias de dispositivos móveis, gadgets, aplicativos Android

AvosLocker Ransomware usa arquivos de driver para desativar soluções antivírus

Uma pesquisa recente da Trend Micro revelou uma nova variante do altamente malicioso ransomware AvosLocker. Ao explorar falhas de segurança não corrigidas, este ransomware evita a detecção desativando soluções antivírus.

Para preencher o vazio deixado pelo REvil, o AvosLocker é uma das famílias de ransomware mais recentes encontradas recentemente. É por isso que os analistas de segurança o associaram a uma série de ataques nos quais teve como alvo várias infra-estruturas críticas, como instituições financeiras e governamentais nos EUA.

Aqui está o que a Trend Micro pesquisadoresChristoper Ordonez e Alvin Nieto declararam: –

“Um arquivo legítimo do driver Avast Anti-Rootkit (asWarPot.sys) está sendo usado neste exemplo para desativar uma solução de defesa. Esta é a primeira vez que vemos uma cepa dos EUA usando esse recurso.”

Cadeia de infecção

No caso do Zoho ManageEngine ADSelfService Plus (ADSS), suspeita-se que esta exploração seja o ponto de entrada.

Como os detalhes do tráfego de rede do invasor não estavam disponíveis, os especialistas não conseguiram identificar o ID CVE exato da vulnerabilidade explorada pelo invasor.

Além disso, parece que eles abusaram do CVE-2021-40539, uma vulnerabilidade que o Synacktiv documentou anteriormente. Os especialistas observaram uma lacuna semelhante ao criar arquivos JSP (test.jsp), executar keytool.exe para executar seu código Java com parâmetros “nulos” e criar classes criadas.

Ferramentas e funções

A seguir mencionamos todas as ferramentas utilizadas e suas funções: –

  • Netscan: Para procurar outros endpoints
  • Nmap (log4shell.nse): Para verificar endpoints vulneráveis ​​do Log4shell
  • Ferramentas de hacking Mimikatz e Impacket: Para movimento lateral
  • Implantação PDQ: Para implantação em massa do script malicioso em vários endpoints
  • Aswarpot.sys: Para desativar soluções de defesa.

Processos

A seguir mencionamos todos os processos que a rotina pesquisa sobre a infecção: –

  • EndpointBasecamp.exe
  • Trend Micro Endpoint Basecamp
  • ResponseService.exe
  • PccNTMon.exe
  • SupportConnector.exe
  • AOTAgent.exe
  • CETASvc.exe
  • CETASvc
  • iVPAgent.exe
  • tmwscsvc.exe
  • Resposta TM
  • AOTAgentSvc
  • Servidor TMBMS
  • iVPAgent
  • Comunicador de serviços Web da Trend Micro
  • Tmccsf
  • Ouça
  • Ntrtscan
  • TmWSCSvc
Nós recomendamos:  O LastPass lançará em breve novos recursos da família para compartilhar senhas e informações da conta

Países segmentados

Quando as entidades visadas se recusam a pagar o resgate, o AvosLocker leiloa os dados roubados delas, essencialmente oferecendo-lhes extorsão em troca de dados. Foi identificado pela primeira vez em julho de 2021 como um grupo afiliado RaaS.

O cartel Ransomware também reivindicou os seguintes países como endereços das vítimas de seus ataques de ransomware: –

  • Síria
  • Arábia Saudita
  • Alemanha
  • Espanha
  • Bélgica
  • Peru
  • Os Emirados Árabes Unidos
  • O Reino Unido
  • Canadá
  • China
  • Taiwan

Comandos usados

No arquivo em lote que foi implantado, você pode encontrar os seguintes comandos: –

  • Desativar Windows Atualização e Microsoft Defender
  • Impede a execução de inicialização segura de produtos de segurança
  • Crie uma nova conta de administrador
  • Adicione o mecanismo AutoStart para o executável AvosLocker (update.exe)
  • Desativa a legenda do aviso legal
  • Defina o safeboot com rede e desative Windows Recuperação de erros e reinicialização

O HTA conseguiu se conectar novamente ao servidor C2 e executar um script PowerShell ofuscado com um shellcode e executar comandos arbitrários.

Usando o processo descrito acima, um web shell ASPX, bem como um arquivo de instalação do software de desktop remoto anyDesk, serão solicitados ao servidor.

Além disso, com a ajuda deste processo, ele implanta outras ferramentas, como verificação da rede local, encerramento de software de segurança e eliminação de uma carga útil de ransomware.

Você pode nos seguir em Linkedin, Twitter, Facebook para atualizações diárias de notícias sobre segurança cibernética e hackers.

Table of Contents