Cybersecurity-onderzoekers hebben een nieuwe variant van de AvosLocker-ransomware onthuld die antivirusoplossingen uitschakelt om detectie te omzeilen na het doorbreken van doelnetwerken door te profiteren van niet-gepatchte beveiligingsfouten.
“Dit is het eerste voorbeeld dat we uit de VS hebben waargenomen met de mogelijkheid om een verdedigingsoplossing uit te schakelen met behulp van een legitiem Avast Anti-Rootkit Driver-bestand (asWarPot.sys)”, Trend Micro-onderzoekers, Christoper Ordonez en Alvin Nieto, zei in een analyse van maandag.
“Bovendien is de ransomware ook in staat om meerdere eindpunten te scannen op de Log4j-kwetsbaarheid (Log4shell) met behulp van Nmap NSE-script.”
AvosLocker, een van de nieuwere ransomware-families om het vacuüm te vullen dat door REvil is achtergelaten, is in verband gebracht met een aantal aanvallen die gericht waren op kritieke infrastructuur in de VS, waaronder financiële diensten en overheidsfaciliteiten.
AvosLocker, een op ransomware-as-a-service (RaaS) gebaseerde groep die voor het eerst werd opgemerkt in juli 2021, gaat verder dan dubbele afpersing door gegevens te veilen die zijn gestolen van slachtoffers als de doelwitten weigeren het losgeld te betalen.
Andere gerichte slachtoffers geclaimd door het ransomwarekartel zouden zich bevinden in Syrië, Saoedi-Arabië, Duitsland, Spanje, België, Turkije, de VAE, het VK, Canada, China en Taiwan, volgens een adviserend vrijgegeven door het Amerikaanse Federal Bureau of Investigation (FBI) in maart 2022.
Telemetriegegevens verzameld door Trend Micro shows dat de voedings- en drankensector de meest getroffen sector was tussen 1 juli 2021 en 28 februari 2022, gevolgd door technologie, financiën, telecom en media.
Het toegangspunt voor de aanval wordt verondersteld te zijn gefaciliteerd door gebruik te maken van een exploit voor een fout bij het uitvoeren van code op afstand in Zoho’s ManageEngine ADSelfService Plus-software (CVE-2021-40539) om een HTML-toepassing uit te voeren (HTA) gehost op een externe server.
“De HTA voerde een versluierd PowerShell-script uit dat een shellcode bevat die in staat is om terug te verbinden met de [command-and-control] server om willekeurige commando’s uit te voeren”, legden de onderzoekers uit.
Dit omvat het ophalen van een ASPX-webshell van de server en een installatieprogramma voor de AnyDesk remote desktop-software, waarvan de laatste wordt gebruikt om extra tools in te zetten om het lokale netwerk te scannen, beveiligingssoftware te beëindigen en de ransomware-payload te verwijderen.
Sommige van de componenten die naar het geïnfecteerde eindpunt zijn gekopieerd, zijn een Nmap-script om het netwerk te scannen op de Log4Shell-fout bij het uitvoeren van externe code (CVE-2021-44228) en een tool voor massa-implementatie genaamd PDQ om een kwaadaardig batchscript aan meerdere eindpunten te leveren.
Het batchscript is van zijn kant uitgerust met een breed scala aan mogelijkheden waarmee het Windows Update, Windows Defender en Windows Error Recovery kan uitschakelen, naast het voorkomen van veilige opstartuitvoering van beveiligingsproducten, het maken van een nieuw beheerdersaccount en het starten van het ransomware-binaire bestand.
Ook wordt aswArPot.sys, een legitieme anti-rootkit-driver van Avast, gebruikt om processen die zijn gekoppeld aan verschillende beveiligingsoplossingen te doden door een nu opgeloste kwetsbaarheid in de driver van het Tsjechische bedrijf te bewapenen. opgelost in juni 2021.
“De beslissing om het specifieke rootkit-stuurprogrammabestand te kiezen, is vanwege de mogelijkheid om in de kernelmodus uit te voeren (dus met een hoog privilege), ” merkten de onderzoekers op. “Deze variant is ook in staat om andere details van de geïnstalleerde beveiligingsoplossingen aan te passen, zoals het uitschakelen van de juridische kennisgeving.”
